Säkerhetsbulletin från Debian
DSA-3646-1 postgresql-9.4 -- säkerhetsuppdatering
- Rapporterat den:
- 2016-08-11
- Berörda paket:
- postgresql-9.4
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-5423, CVE-2016-5424.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i PostgreSQL-9.4, ett SQL-databassystem.
- CVE-2016-5423
Karthikeyan Jambu Rajaraman upptäclte att nästlade CASE-WHEN-uttryck inte evalueras ordentligt, vilket potentiellt kan leda till krasch eller tillåta att avslöja delar av serverminne.
- CVE-2016-5424
Nathan Bossart upptäckte att speciella tecken i databas- och rollnamn inte hanteras ordentligt, vilket potentiellt leder till körning av kommandon med superanvändarrättigheter, när en superanvändare exekverar pg_dumpall eller andra rutinunderhållsuppgifter.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 9.4.9-0+deb8u1.
Vi rekommenderar att ni uppgraderar era postgresql-9.4-paket.
- CVE-2016-5423