Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3476-1 postgresql-9.4

Debians sikkerhedsbulletin

DSA-3476-1 postgresql-9.4 -- sikkerhedsopdatering

Rapporteret den:

13. feb 2016

Berørte pakker:

postgresql-9.4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-0766, CVE-2016-0773.

Yderligere oplysninger:

Flere sårbarheder er fundet i PostgreSQL-9.4, et SQL-databasesystem.

• CVE-2016-0766

  Der blev opdaget en rettighedsforøgelsessårbarhed for brugere af PL/Java. Visse skræddersyede opsætningsindstillinger (GUC'er) af PL/Java, kan nu kan ændres af en databasesuperbruger, for at begrænse omfanget af dette problem.

• CVE-2016-0773

  Tom Lane og Greg Stark opdagede en fejl i den måde, PostgreSQL behandlede særligt fremstillede regulære udtryk. Meget store tegnspænd i parentesudtryk, kunne medføre uendelige løkker eller hukommelsesoverskrivelser. En fjernangriber kunne udnytte fejlen til at forårsage et lammelsesangreb (denial of service) eller potentielt udføre vilkårlig kode.

I den stabile distribution (jessie), er disse problemer rettet i version 9.4.6-0+deb8u1.

Vi anbefaler at du opgraderer dine postgresql-9.4-pakker.