Рекомендация Debian по безопасности

DSA-3476-1 postgresql-9.4 -- обновление безопасности

Дата сообщения:
13.02.2016
Затронутые пакеты:
postgresql-9.4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-0766, CVE-2016-0773.
Более подробная информация:

В PostgreSQL-9.4, системе баз данных SQL, было обнаружено несколько уязвимостей.

  • CVE-2016-0766

    Было обнаружено повышение привилегий для пользователей PL/Java. Некоторые настройки (GUC) для PL/Java теперь могут быть изменены только суперпользователем базы данных, это сделано для уменьшения вреда это указанной проблемы.

  • CVE-2016-0773

    Том Лэйн и Грег Старк обнаружили уязвимость в способе, используемом PostgreSQL для обработки специально сформированных регулярных выражений. Очень большие интервалы символов в выражениях в скобках могут приводить к возникновению бесконечны циклов или перезаписи содержимого памяти. Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании или потенциального выполнения произвольного кода.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 9.4.6-0+deb8u1.

Рекомендуется обновить пакеты postgresql-9.4.