Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3476-1 postgresql-9.4

Bulletin d'alerte Debian

DSA-3476-1 postgresql-9.4 -- Mise à jour de sécurité

Date du rapport :

13 février 2016

Paquets concernés :

postgresql-9.4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-0766, CVE-2016-0773.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PostgreSQL-9.4, un sytème de base de données SQL.

• CVE-2016-0766

  Une vulnérabilité d'augmentation de droits pour les utilisateurs de PL/Java a été découverte. Certains réglages de configuration personnalisée (GUC) pour PL/Java ne seront désormais modifiables que par le superutilisateur de la base de données pour atténuer ce problème.

• CVE-2016-0773

  Tom Lane et Greg Stark ont découvert un défaut dans la façon dont PostgreSQL traite des expressions rationnelles contrefaites pour l'occasion. Une très grande série de caractères dans des expressions entre crochets pourrait provoquer des boucles infinies ou des écrasements de mémoire. Un attaquant distant peut exploiter ce défaut pour provoquer un déni de service ou, éventuellement, pour exécuter du code arbitraire.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 9.4.6-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets postgresql-9.4.