Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2534-1 postgresql-8.4

Säkerhetsbulletin från Debian

DSA-2534-1 postgresql-8.4 -- flera sårbarheter

Rapporterat den:

2012-08-25

Berörda paket:

postgresql-8.4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-3488, CVE-2012-3489.

Ytterligare information:

Två sårbarheter relaterade till XML-behandling har upptäckts i PostgreSQL, en SQL-databas.

• CVE-2012-3488

  contrib/xml2's xslt_process() kan användas för att läsa och skriva externa filer och URLer.

• CVE-2012-3489

  xml_parse() hämtar externa filer eller URLer för att lösa DTD och entity-referenser i XML-värden.

Denna uppdatering tar bort den problematiska funktionaliteten, vilket potentiellt kan göra applikationer som använder den på ett legitimt sätt trasiga.

På grund av karaktären på dessa sårbarheter är det möjligt att angripare som endast har indirekt åtkomst till databasen kan tillhandahålla skapad XML-data som exploaterar denna sårbarhet.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 8.4.13-0squeeze1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 9.1.5-1 of the postgresql-9.1 package.

Vi rekommenderar att ni uppgraderar era postgresql-8.4-paket.