Информация по безопасности / 2016 / Информация о безопасности -- DSA-3475-1 postgresql-9.1

Рекомендация Debian по безопасности

DSA-3475-1 postgresql-9.1 -- обновление безопасности

Дата сообщения:

13.02.2016

Затронутые пакеты:

postgresql-9.1

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-5288, CVE-2016-0766, CVE-2016-0773.

Более подробная информация:

В PostgreSQL-9.1, системе баз данных SQL, было обнаружено несколько уязвимостей.

• CVE-2015-5288

  Джош Капершмит обнаружил уязвимость в функции crypt() в расширении pgCrypto. Некоторые некорректные аргументы, предоставляющие соль, могут приводить к аварийной остановке сервера или раскрытию нескольких байт серверной памяти.

• CVE-2016-0766

  Было обнаружено повышение привилегий для пользователей PL/Java. Некоторые настройки (GUC) для PL/Java теперь могут быть изменены только суперпользователем базы данных, это сделано для уменьшения вреда это указанной проблемы.

• CVE-2016-0773

  Том Лэйн и Грег Старк обнаружили уязвимость в способе, используемом PostgreSQL для обработки специально сформированных регулярных выражений. Очень большие интервалы символов в выражениях в скобках могут приводить к возникновению бесконечных циклов или перезаписи содержимого памяти. Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании или потенциального выполнения произвольного кода.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 9.1.20-0+deb7u1.

Рекомендуется обновить пакеты postgresql-9.1.