Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
postgresql-9.1
(any)
Описание
В сервере баз данных PostgreSQL были обнаружены несколько уязвимостей.
CVE-2013-1899
Митсумаса Кондо и Киотаро Хоригучи из NTT Open Source Software Center
обнаружили, что запрос о подключении может содержать
имя базы данных, начинающееся с -, что может повредить или
уничтожить файлы в серверном каталоге данных. Любой, кто имеет доступ к порту
сервера PostgreSQL, может отправить этот запрос.
CVE-2013-1900
Случайные числа, генерируемые функциями contrib/pgcrypto, могут быть легко
угаданы другим пользователем базы данных.
CVE-2013-1901
Непривилегированный пользователь может запускать команды, которые мешают
работающему процессу резервного копирования.
В стабильном выпуске (squeeze) пакет postgresql-9.1 не доступен.
DSA-2657-1 была выпущена для CVE-2013-1900,
затрагивающей posgresql-8.4.
В тестируемом выпуске (wheezy) эти проблема были исправлены в
версии 9.1.9-0wheezy1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 9.1.9-1.
Рекомендуется обновить пакеты postgresql-9.1.
CVE-2013-1899
Митсумаса Кондо и Киотаро Хоригучи из NTT Open Source Software Center
обнаружили, что запрос о подключении может содержать
имя базы данных, начинающееся с -, что может повредить или
уничтожить файлы в серверном каталоге данных. Любой, кто имеет доступ к порту
сервера PostgreSQL, может отправить этот запрос.
CVE-2013-1900
Случайные числа, генерируемые функциями contrib/pgcrypto, могут быть легко
угаданы другим пользователем базы данных.
CVE-2013-1901
Непривилегированный пользователь может запускать команды, которые мешают
работающему процессу резервного копирования.
В стабильном выпуске (squeeze) пакет postgresql-9.1 не доступен.
DSA-2657-1 была выпущена для CVE-2013-1900,
затрагивающей posgresql-8.4.
В тестируемом выпуске (wheezy) эти проблема были исправлены в
версии 9.1.9-0wheezy1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 9.1.9-1.
Рекомендуется обновить пакеты postgresql-9.1.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
postgresql-9.1 - 9.1.9-0wheezy1
Debian GNU/Linux 7:
noarch:
postgresql-9.1 - 9.1.9-0wheezy1
Ссылки
http://www.debian.org/security/dsa-2658/
Источник: CVE
Наименование: CVE-2013-1899
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899
Источник: CVE
Наименование: CVE-2013-1901
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1901
Источник: CVE
Наименование: CVE-2013-1900
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900
Источник: CVE
Наименование: CVE-2013-1899
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899
Источник: CVE
Наименование: CVE-2013-1901
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1901
Источник: CVE
Наименование: CVE-2013-1900
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900