Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3270-1 postgresql-9.4

Debians sikkerhedsbulletin

DSA-3270-1 postgresql-9.4 -- sikkerhedsopdatering

Rapporteret den:

22. maj 2015

Berørte pakker:

postgresql-9.4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-3165, CVE-2015-3166, CVE-2015-3167.

Yderligere oplysninger:

Flere sårbarheder er fundet i PostgreSQL-9.4, et SQL-databasesystem.

• CVE-2015-3165 (Fjernnedbrud)

  SSL-klienter, som afbryder forbindelsen lige før autentifikationstimeouten udløber, kunne få serveren til at gå ned.

• CVE-2015-3166 (Informationsblotlæggelse)

  Erstatningsimplementeringen af snprintf() fik ikke kontrolleret for fejl rapporteret af de underliggende kald til systembiblioteker; primært er det ikke mere hukommelse-situationer, der kunne blive overset. I værste fald kunne det føre til informationsblotlæggelse.

• CVE-2015-3167 (Mulig blotlæggelse af sidekanal-nøgle)

  I contrib/pgcrypto kunne nogle tilfælde af dekryptering med en forkert nøgle føre til andre fejlmeddelelsestekster. Rettet ved at anvende en en størrelse passer alle-meddelelse.

I den stabile distribution (jessie), er disse problemer rettet i version 9.4.2-0+deb8u1.

I distributionen testing (stretch), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 9.4.2-1.

Vi anbefaler at du opgraderer dine postgresql-9.4-pakker.