Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3155-1 postgresql-9.1

Bulletin d'alerte Debian

DSA-3155-1 postgresql-9.1 -- Mise à jour de sécurité

Date du rapport :

6 février 2015

Paquets concernés :

postgresql-9.1

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-8161, CVE-2015-0241, CVE-2015-0243, CVE-2015-0244.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PostgreSQL-9.1, un système de base de données SQL.

• CVE-2014-8161 : fuite d'informations

  Un utilisateur avec des autorisations limitées sur une table pourrait avoir accès à des informations sur des colonnes sur lesquelles il ne possède pas de droit SELECT grâce à des messages d'erreur du serveur.

• CVE-2015-0241 : lecture/écriture hors limites

  La fonction to_char() pourrait écrire et lire au-delà de la fin d'un tampon. Cela pourrait planter le serveur lorsque qu'un modèle de formatage est appliqué.

• CVE-2015-0243 : débordements de tampon dans contrib/pgcrypto

  Le module pgcrypto est vulnérable à des débordements de tampon de pile qui pourraient planter le serveur.

• CVE-2015-0244 : injection de commandes SQL

  Emil Lenngren a signalé qu'un attaquant peut injecter des commandes SQL quand la synchronisation entre le client et le serveur est perdue.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 9.1.15-0+deb7u1.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 9.1.14-0+deb8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 9.1.15-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets postgresql-9.1.