Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2658-1 postgresql-9.1

Debians sikkerhedsbulletin

DSA-2658-1 postgresql-9.1 -- flere sårbarheder

Rapporteret den:

4. apr 2013

Berørte pakker:

postgresql-9.1

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 704479.
I Mitres CVE-ordbog: CVE-2013-1899, CVE-2013-1900, CVE-2013-1901.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i databaseserveren PostgreSQL.

• CVE-2013-1899

  Mitsumasa Kondo og Kyotaro Horiguchi fra NTT Open Source Software Center, opdagede at det var muligt for en forbindelsesforespørgsel indeholdende et databasenavn som begynder med - at blive fabrikeret på en sådan måde, at filer i serveres data-mappe kunne blive beskadiget eller ødelagt. Alle med adgang til porten, som PostgreSQL-serveren lytter til, kunne initiere en sådan forespørgsel.

• CVE-2013-1900

  Tilfældige tal generet af contrib/pgcrypto-funktioner, kunne måske være lette at gætte for en anden databasebruger.

• CVE-2013-1901

  En upriviligeret bruger kunne køre kommandoer, som kunne forstyrre igangværende sikkerhedkopieringer.

I den stabile distribution (squeeze), er postgresql-9.1 ikke tilgængelig DSA-2657-1 er udgivet vedrørende CVE-2013-1900, der påvirker posgresql-8.4.

I distributionen testing (wheezy), er disse problemer rettet i version 9.1.9-0wheezy1.

I den ustabile distribution (sid), er disse problemer rettet i version 9.1.9-1.

Vi anbefaler at du opgraderer dine postgresql-9.1-pakker.