Информация по безопасности / 2016 / Информация о безопасности -- DSA-3476-1 postgresql-9.4

Рекомендация Debian по безопасности

DSA-3476-1 postgresql-9.4 -- обновление безопасности

Дата сообщения:

13.02.2016

Затронутые пакеты:

postgresql-9.4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-0766, CVE-2016-0773.

Более подробная информация:

В PostgreSQL-9.4, системе баз данных SQL, было обнаружено несколько уязвимостей.

• CVE-2016-0766

  Было обнаружено повышение привилегий для пользователей PL/Java. Некоторые настройки (GUC) для PL/Java теперь могут быть изменены только суперпользователем базы данных, это сделано для уменьшения вреда это указанной проблемы.

• CVE-2016-0773

  Том Лэйн и Грег Старк обнаружили уязвимость в способе, используемом PostgreSQL для обработки специально сформированных регулярных выражений. Очень большие интервалы символов в выражениях в скобках могут приводить к возникновению бесконечных циклов или перезаписи содержимого памяти. Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании или потенциального выполнения произвольного кода.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 9.4.6-0+deb8u1.

Рекомендуется обновить пакеты postgresql-9.4.