Bulletin d'alerte Debian

DSA-4028-1 postgresql-9.6 -- Mise à jour de sécurité

Date du rapport :
9 novembre 2017
Paquets concernés :
postgresql-9.6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-15098, CVE-2017-15099.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le système de base de données PostgreSQL :

  • CVE-2017-15098

    Déni de service et possible divulgation de mémoire dans les fonctions json_populate_recordset() et jsonb_populate_recordset().

  • CVE-2017-15099

    Vérifications des permissions insuffisantes dans les instructions INSERT ... ON CONFLICT DO UPDATE.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 9.6.6-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets postgresql-9.6.