Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3476-1 postgresql-9.4

Säkerhetsbulletin från Debian

DSA-3476-1 postgresql-9.4 -- säkerhetsuppdatering

Rapporterat den:

2016-02-13

Berörda paket:

postgresql-9.4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2016-0766, CVE-2016-0773.

Ytterligare information:

Flera sårbarheter har upptäckts i PostgreSQL-9.4, ett SQL-databassystem.

• CVE-2016-0766

  En sårbarhet för utökning av privilegier för användare av PL/Java har upptäckts. Vissa anpassade konfigurationsinställningar (GUCs) för PL/Java kommer nu endast att vara redigerbara av databassuperanvändaren för att lindra detta problem.

• CVE-2016-0773

  Tom Lane och Greg Stark upptäckte en brist i sättet som PostgreSQL behandlar speciellt skapade reguljära uttryck. Väldigt stora teckenomfång i hakparantesuttryck kunde orsaka oändliga loopar eller minnesöverskrivning. En fjärrangripare kan exploatera denna brist för att orsaka en överbelastning, eller potentiellt för att köra godtycklig kod.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 9.4.6-0+deb8u1.

Vi rekommenderar att ni uppgraderar era postgresql-9.4-paket.