Информация по безопасности / 2013 / Информация о безопасности -- DSA-2658-1 postgresql-9.1

Рекомендация Debian по безопасности

DSA-2658-1 postgresql-9.1 -- несколько уязвимостей

Дата сообщения:

04.04.2013

Затронутые пакеты:

postgresql-9.1

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 704479.
В каталоге Mitre CVE: CVE-2013-1899, CVE-2013-1900, CVE-2013-1901.

Более подробная информация:

В сервере баз данных PostgreSQL были обнаружены несколько уязвимостей.

• CVE-2013-1899

  Митсумаса Кондо и Киотаро Хоригучи из NTT Open Source Software Center обнаружили, что запрос о подключении может содержать имя базы данных, начинающееся с -, что может повредить или уничтожить файлы в серверном каталоге данных. Любой, кто имеет доступ к порту сервера PostgreSQL, может отправить этот запрос.

• CVE-2013-1900

  Случайные числа, генерируемые функциями contrib/pgcrypto, могут быть легко угаданы другим пользователем базы данных.

• CVE-2013-1901

  Непривилегированный пользователь может запускать команды, которые мешают работающему процессу резервного копирования.

В стабильном выпуске (squeeze) пакет postgresql-9.1 не доступен. DSA-2657-1 была выпущена для CVE-2013-1900, затрагивающей posgresql-8.4.

В тестируемом выпуске (wheezy) эти проблема были исправлены в версии 9.1.9-0wheezy1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 9.1.9-1.

Рекомендуется обновить пакеты postgresql-9.1.