Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3374-1 postgresql-9.4

Debians sikkerhedsbulletin

DSA-3374-1 postgresql-9.4 -- sikkerhedsopdatering

Rapporteret den:

19. okt 2015

Berørte pakker:

postgresql-9.4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-5288, CVE-2015-5289.

Yderligere oplysninger:

Flere sårbarheder er fundet i PostgreSQL-9.4, et SQL-databasesystem.

• CVE-2015-5288

  Josh Kupershmidt opdagede en sårbarhed i funktionen crypt() i udvidelsen pgCrypto. Visse ugyldige salt-parametre kunne medføre at serveren gik ned eller at der blev afsløret nogle få bytes fra serverhukommelsen.

• CVE-2015-5289

  Oskari Saarenmaa opdagede at json- eller jsonb-inddataværdier konstrueret fra vilkårlige brugerinddata, kunne få PostgreSQL-serveren til at gå ned og dermed forårsage et lammelsesangreb (denial of service).

I den stabile distribution (jessie), er disse problemer rettet i version 9.4.5-0+deb8u1.

I distributionen testing (stretch), er disse problemer rettet i version 9.4.5-1.

I den ustabile distribution (sid), er disse problemer rettet i version 9.4.5-1.

Vi anbefaler at du opgraderer dine postgresql-9.4-pakker.