Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3270-1 postgresql-9.4

Säkerhetsbulletin från Debian

DSA-3270-1 postgresql-9.4 -- säkerhetsuppdatering

Rapporterat den:

2015-05-22

Berörda paket:

postgresql-9.4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-3165, CVE-2015-3166, CVE-2015-3167.

Ytterligare information:

Flera sårbarheter har upptäckts i PostgreSQL-9, ett SQL-databassystem.

• CVE-2015-3165 (Fjärrkrasch)

  SSL-klienter som kopplar ifrån just innan autentiserings-timeouten går ut kan orsaka servern att krascha.

• CVE-2015-3166 (Informationsläckage)

  Ersättningsimplementationen av snprintf() misslyckades att kolla efter fel som rapporterades av systemanrop till det underliggande biblioteket; huvuddelen av fall då detta misslyckas är situationer när minnet tar slut. I värsta fall kan detta leda till avslöjande av information.

• CVE-2015-3167 (Möjligt avslöjande av sidokanalsnyckel)

  I contrib/pgcrypto, kunde vissa fall av dekryptering med en felaktig nyckel rapportera andra felmeddelandetexter. Rättas genom att använda ett meddlende som passar alla fall.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 9.4.2-0+deb8u1.

För uttestningsutgåvan (Stretch) kommer dessa problem att fixed inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 9.4.2-1.

Vi rekommenderar att ni uppgraderar era postgresql-9.4-paket.