Информация по безопасности / 2015 / Информация о безопасности -- DSA-3374-1 postgresql-9.4

Рекомендация Debian по безопасности

DSA-3374-1 postgresql-9.4 -- обновление безопасности

Дата сообщения:

19.10.2015

Затронутые пакеты:

postgresql-9.4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-5288, CVE-2015-5289.

Более подробная информация:

В PostgreSQL-9.4, системе баз данных SQL, было обнаружено несколько уязвимостей.

• CVE-2015-5288

  Джош Капершмидт обнаружил уязвимость в функции crypt() из расширения pgCrypto. Некоторые некорректные аргументы, представляющие собой соль, могут вызвать аварийное завершение работы сервера или приводить к раскрытию нескольких байт серверной памяти.

• CVE-2015-5289

  Оскари Сааренмаа обнаружил, что входные значения json или jsonb, создаваемые на основе ввода произвольного пользователя, могут приводить к аварийному завершению работы сервера PostgreSQL и вызывать отказ в обслуживании.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 9.4.5-0+deb8u1.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 9.4.5-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 9.4.5-1.

Рекомендуется обновить пакеты postgresql-9.4.