Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
postgresql
(any)
postgresql-contrib
(any)
postgresql-devel
(any)
postgresql-docs
(any)
postgresql-jdbc
(any)
postgresql-libs
(any)
postgresql-pl
(any)
postgresql-plperl
(any)
postgresql-plpython
(any)
postgresql-pltcl
(any)
postgresql-python
(any)
postgresql-server
(any)
postgresql-tcl
(any)
postgresql-test
(any)
Описание
PostgreSQL - это современная объектная система управления базами данных (СУБД).
Ошибка, связанная с переполнением буфера в стеке, обнаружена в PostgreSQL при обработке некоторых токенов SQL-запроса, когда модуль intarray включен в базе данных. Аутентифицированный пользователь базы данных, отправив специально сформированный SQL-запрос, может использовать данную уязвимость, чтобы вызвать временный отказ в обслуживании (аварийное завершение работы демона postgres) или выполнить произвольный код с привилегиями сервера базы данных. (CVE-2010-4015)
Для Red Hat Enterprise Linux 4, пакет postgresql включает исправление данной проблемы.
Для Red Hat Enterprise Linux 5 пакет postgresql обновляет PostgreSQL до версии 8.1.23, включающей исправление данной проблемы. Список изменений представлен в PostgreSQL Release Notes:
http://www.postgresql.org/docs/8.1/static/release.html
http://www.postgresql.org/docs/8.1/static/release.html">http://www.postgresql.org/docs/8.1/static/release.html
/> Для Red Hat Enterprise Linux 6 пакет postgresql обновляет PostgreSQL до версии 8.4.7, включающей исправление данной проблемы. Список изменений представлен в PostgreSQL Release Notes:
http://www.postgresql.org/docs/8.4/static/release.html
http://www.postgresql.org/docs/8.4/static/release.html">http://www.postgresql.org/docs/8.4/static/release.html
/> Всем пользователям PostgreSQL рекомендуется обновить программное обеспечение, чтобы исправить указанную проблему. Если служба postgresql запущена, то она будет автоматически перезапущена после установки данного обновления.
Ошибка, связанная с переполнением буфера в стеке, обнаружена в PostgreSQL при обработке некоторых токенов SQL-запроса, когда модуль intarray включен в базе данных. Аутентифицированный пользователь базы данных, отправив специально сформированный SQL-запрос, может использовать данную уязвимость, чтобы вызвать временный отказ в обслуживании (аварийное завершение работы демона postgres) или выполнить произвольный код с привилегиями сервера базы данных. (CVE-2010-4015)
Для Red Hat Enterprise Linux 4, пакет postgresql включает исправление данной проблемы.
Для Red Hat Enterprise Linux 5 пакет postgresql обновляет PostgreSQL до версии 8.1.23, включающей исправление данной проблемы. Список изменений представлен в PostgreSQL Release Notes:
http://www.postgresql.org/docs/8.1/static/release.html
http://www.postgresql.org/docs/8.1/static/release.html">http://www.postgresql.org/docs/8.1/static/release.html
/> Для Red Hat Enterprise Linux 6 пакет postgresql обновляет PostgreSQL до версии 8.4.7, включающей исправление данной проблемы. Список изменений представлен в PostgreSQL Release Notes:
http://www.postgresql.org/docs/8.4/static/release.html
http://www.postgresql.org/docs/8.4/static/release.html">http://www.postgresql.org/docs/8.4/static/release.html
/> Всем пользователям PostgreSQL рекомендуется обновить программное обеспечение, чтобы исправить указанную проблему. Если служба postgresql запущена, то она будет автоматически перезапущена после установки данного обновления.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0197.html
https://rhn.redhat.com/errata/RHSA-2010-0197.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0197.html
CVE (CVE-2010-4015): https://www.redhat.com/security/data/cve/CVE-2010-4015.html
BUGZILLA (664402): http://bugzilla.redhat.com/664402
Источник: CVE
Наименование: CVE-2010-4015
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4015
CVE (CVE-2010-4015): https://www.redhat.com/security/data/cve/CVE-2010-4015.html
BUGZILLA (664402): http://bugzilla.redhat.com/664402
Источник: CVE
Наименование: CVE-2010-4015
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4015