• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2658-1 postgresql-9.1 -- несколько уязвимостей

Главная Специалистам База уязвимостей DSA-2658-1 postgresql-9.1 -- несколько уязвимостей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
В сервере баз данных PostgreSQL были обнаружены несколько уязвимостей.

CVE-2013-1899
Митсумаса Кондо и Киотаро Хоригучи из NTT Open Source Software Center
    обнаружили, что запрос о подключении может содержать
    имя базы данных, начинающееся с -, что может повредить или
    уничтожить файлы в серверном каталоге данных. Любой, кто имеет доступ к порту
    сервера PostgreSQL, может отправить этот запрос.
CVE-2013-1900
Случайные числа, генерируемые функциями contrib/pgcrypto, могут быть легко
    угаданы другим пользователем базы данных.
CVE-2013-1901
Непривилегированный пользователь может запускать команды, которые мешают
    работающему процессу резервного копирования.

В стабильном выпуске (squeeze) пакет postgresql-9.1 не доступен.
DSA-2657-1 была выпущена для CVE-2013-1900,
затрагивающей posgresql-8.4.
В тестируемом выпуске (wheezy) эти проблема были исправлены в
версии 9.1.9-0wheezy1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 9.1.9-1.
Рекомендуется обновить пакеты postgresql-9.1.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
postgresql-9.1 - 9.1.9-0wheezy1
Ссылки
http://www.debian.org/security/dsa-2658/

Источник: CVE
Наименование: CVE-2013-1899
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899

Источник: CVE
Наименование: CVE-2013-1901
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1901

Источник: CVE
Наименование: CVE-2013-1900
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900