Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3155-1 postgresql-9.1

Säkerhetsbulletin från Debian

DSA-3155-1 postgresql-9.1 -- säkerhetsuppdatering

Rapporterat den:

2015-02-06

Berörda paket:

postgresql-9.1

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-8161, CVE-2015-0241, CVE-2015-0243, CVE-2015-0244.

Ytterligare information:

Flera sårbarheter har upptäckts i PostgreSQL-9.1, ett SQL-databassystem.

• CVE-2014-8161: Informationsläckage

  En användare med begränsat godkännande på en tabell kan ha åtkomst till information i kolumner utan SELECT-rättigheter genom serverfelmeddelanden.

• CVE-2015-0241: Läsning/skrivning utanför gränserna

  Funktionen to_char() kan läsa/skriva utanför slutet på en buffer. Detta kan krascha servern när en formatteringsmall behandlas.

• CVE-2015-0243: Buffertspill i contrib/pgcrypto

  Modulen pgcrypto är sårbar för stackbuffertspill som kan krascha servern.

• CVE-2015-0244: SQL-kommandoinjicering

  Emil Lenngren rapporterade att en angripare kan injicera SQL-kommandon när synkroniseringen mellan klient och server förloras.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 9.1.15-0+deb7u1.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 9.1.14-0+deb8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 9.1.15-0+deb8u1.

Vi rekommenderar att ni uppgraderar era postgresql-9.1-paket.