Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:N/I:N/A:C)
Производитель ПО
Наименование ПО
postgresql
(any)
postgresql84
(any)
postgresql84-contrib
(any)
postgresql84-devel
(any)
postgresql84-docs
(any)
postgresql84-libs
(any)
postgresql84-plperl
(any)
postgresql84-plpython
(any)
postgresql84-pltcl
(any)
postgresql84-python
(any)
postgresql84-server
(any)
postgresql84-tcl
(any)
postgresql84-test
(any)
postgresql-contrib
(any)
postgresql-devel
(any)
postgresql-docs
(any)
postgresql-libs
(any)
postgresql-plperl
(any)
postgresql-plpython
(any)
postgresql-pltcl
(any)
postgresql-server
(any)
postgresql-test
(any)
Описание
PostgreSQL - это современная объектно-реляционная система управления базами данных (СУБД).
Ошибка в индексе массива существует в PostgreSQL из-за некорректной обработки некоторых ошибок с использованием перечисляемых типов и приводит к чтению буфера за пределами границ в динамической памяти. Уязвимость позволяет непривилегированному пользователю базы данных отправить специально сформированный SQL-запрос, при обработке которого компонентом сервера службы PostgreSQL происходит отказ в обслуживании (аварийное завершение работы демона), или получить доступ к определенным участкам памяти сервера. (CVE-2013-0255)
Уязвимость существует в модуле pgcrypto contrib в PostgreSQL и связана с некорректной (ре-) инициализацией внутреннего генератора случайных чисел. Данная уязвимость может привести к использованию случайных чисел с меньшим количеством битов энтропии в некоторых функциях pgcrypto, что позволяет злоумышленнику проводить различные атаки.
- -
Данные пакеты обновляют PostgreSQL до версии 8.4.18, в которой исправлены вышеуказаные уязвимости и некоторые ошибки, не имеющие отношения к безопасности. Полный список изменений опубликован в Замечаниях к версии PostgreSQL и доступен по ссылке:
http://www.postgresql.org/docs/8.4/static/release-8-4-18.html
http://www.postgresql.org/docs/8.4/static/release-8-4-18.html">http://www.postgresql.org/docs/8.4/static/release-8-4-18.html
/>
После установки данного обновления рекомендуется восстановить посредством команды REINDEX индексы Generalized Search Tree (GiST), которые удовлетворяют одному или нескольким из следующих критериев:
- индексы GiST в столбцах прямоугольник (box), многоугольник (polygon), круг (circle) или точка (point)
- индексы GiST для данных с изменяющейся разрядностью, то есть текстовых, данных типа bytea, разрядных и числовых
- многостолбцовые индексы GiST
Для устранения уязвимостей, пользователям PostgreSQL необходимо обновить систему, используя данные пакеты с бэкпортироваными исправлениями. После установки обновлений служба postgresql будет автоматически перезапущена, если она была запущена ранее.
Ошибка в индексе массива существует в PostgreSQL из-за некорректной обработки некоторых ошибок с использованием перечисляемых типов и приводит к чтению буфера за пределами границ в динамической памяти. Уязвимость позволяет непривилегированному пользователю базы данных отправить специально сформированный SQL-запрос, при обработке которого компонентом сервера службы PostgreSQL происходит отказ в обслуживании (аварийное завершение работы демона), или получить доступ к определенным участкам памяти сервера. (CVE-2013-0255)
Уязвимость существует в модуле pgcrypto contrib в PostgreSQL и связана с некорректной (ре-) инициализацией внутреннего генератора случайных чисел. Данная уязвимость может привести к использованию случайных чисел с меньшим количеством битов энтропии в некоторых функциях pgcrypto, что позволяет злоумышленнику проводить различные атаки.
- -
Данные пакеты обновляют PostgreSQL до версии 8.4.18, в которой исправлены вышеуказаные уязвимости и некоторые ошибки, не имеющие отношения к безопасности. Полный список изменений опубликован в Замечаниях к версии PostgreSQL и доступен по ссылке:
http://www.postgresql.org/docs/8.4/static/release-8-4-18.html
http://www.postgresql.org/docs/8.4/static/release-8-4-18.html">http://www.postgresql.org/docs/8.4/static/release-8-4-18.html
/>
После установки данного обновления рекомендуется восстановить посредством команды REINDEX индексы Generalized Search Tree (GiST), которые удовлетворяют одному или нескольким из следующих критериев:
- индексы GiST в столбцах прямоугольник (box), многоугольник (polygon), круг (circle) или точка (point)
- индексы GiST для данных с изменяющейся разрядностью, то есть текстовых, данных типа bytea, разрядных и числовых
- многостолбцовые индексы GiST
Для устранения уязвимостей, пользователям PostgreSQL необходимо обновить систему, используя данные пакеты с бэкпортироваными исправлениями. После установки обновлений служба postgresql будет автоматически перезапущена, если она была запущена ранее.
Как исправить
Используйте рекомендации производителя, доступные по ссылке https://access.redhat.com/knowledge/articles/11258
Ссылки
https://rhn.redhat.com/errata/RHSA-2013-1475.html
Источник: CVE
Наименование: CVE-2013-0255
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0255
Источник: CVE
Наименование: CVE-2013-1900
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900
Источник: CVE
Наименование: CVE-2013-0255
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0255
Источник: CVE
Наименование: CVE-2013-1900
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900