• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2013:1475-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2013:1475-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:N/I:N/A:C)
Производитель ПО
Описание
PostgreSQL - это современная объектно-реляционная система управления базами данных (СУБД).

Ошибка в индексе массива существует в PostgreSQL из-за некорректной обработки некоторых ошибок с использованием перечисляемых типов и приводит к чтению буфера за пределами границ в динамической памяти. Уязвимость позволяет непривилегированному пользователю базы данных отправить специально сформированный SQL-запрос, при обработке которого компонентом сервера службы PostgreSQL происходит отказ в обслуживании (аварийное завершение работы демона), или получить доступ к определенным участкам памяти сервера. (CVE-2013-0255)

Уязвимость существует в модуле pgcrypto contrib в PostgreSQL и связана с некорректной (ре-) инициализацией внутреннего генератора случайных чисел. Данная уязвимость может привести к использованию случайных чисел с меньшим количеством битов энтропии в некоторых функциях pgcrypto, что позволяет злоумышленнику проводить различные атаки.
- -

Данные пакеты обновляют PostgreSQL до версии 8.4.18, в которой исправлены вышеуказаные уязвимости и некоторые ошибки, не имеющие отношения к безопасности. Полный список изменений опубликован в Замечаниях к версии PostgreSQL и доступен по ссылке:

http://www.postgresql.org/docs/8.4/static/release-8-4-18.htmlhttp://www.postgresql.org/docs/8.4/static/release-8-4-18.html">http://www.postgresql.org/docs/8.4/static/release-8-4-18.html />
После установки данного обновления рекомендуется восстановить посредством команды REINDEX индексы Generalized Search Tree (GiST), которые удовлетворяют одному или нескольким из следующих критериев:

- индексы GiST в столбцах прямоугольник (box), многоугольник (polygon), круг (circle) или точка (point)

- индексы GiST для  данных с изменяющейся разрядностью, то есть текстовых, данных типа bytea, разрядных и числовых

- многостолбцовые индексы GiST

Для устранения уязвимостей, пользователям PostgreSQL необходимо обновить систему, используя данные пакеты с бэкпортироваными исправлениями. После установки обновлений служба postgresql будет автоматически перезапущена, если она была запущена ранее.
Как исправить
Используйте рекомендации производителя, доступные по ссылке https://access.redhat.com/knowledge/articles/11258
Ссылки
https://rhn.redhat.com/errata/RHSA-2013-1475.html

Источник: CVE
Наименование: CVE-2013-0255
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0255

Источник: CVE
Наименование: CVE-2013-1900
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900