Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2658-1 postgresql-9.1

Säkerhetsbulletin från Debian

DSA-2658-1 postgresql-9.1 -- flera sårbarheter

Rapporterat den:

2013-04-04

Berörda paket:

postgresql-9.1

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 704479.
I Mitres CVE-förteckning: CVE-2013-1899, CVE-2013-1900, CVE-2013-1901.

Ytterligare information:

Flera sårbarheter har upptäckts i databasservern PostgreSQL.

• CVE-2013-1899

  Mitsumasa Kondo och Kyotaro Horiguchi på NTT Open Source Software Center upptäckte att det var möjligt för en kopplingsförfrågan som innehåller ett databasnamn som börjar med - att bli skapat som kunde skada eller förstöra filer i en servers data-katalog. Vem som helst med tillgång till porten som PostgreSQL-servern lyssnar på kan initiera denna förfrågan.

• CVE-2013-1900

  Slumptal som genererats av contrib/pgcrypto-funktioner kan vara enkla för andra databasanvändare att gissa.

• CVE-2013-1901

  Em opriviligerad användare kunde köra kommandon som kunde störa backuper under körning.

För den stabila utgåvan (Squeeze), är inte postgresql-9.1 tillgängligt. DSA-2657-1 har släppts för CVE-2013-1900 som påverkar posgresql-8.4.

För uttestningsutgåvan (Wheezy) har dessa problem rättats i version 9.1.9-0wheezy1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 9.1.9-1.

Vi rekommenderar att ni uppgraderar era postgresql-9.1-paket.