Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
postgresql-9.1
(any)
Описание
В PostgreSQL-9.1, системе баз данных SQL, были обнаружены
несколько уязвимостей.
CVE-2014-8161:
Утечка информации
Пользователь с ограниченным допуском к таблице может получить доступ к информации
в столбцах без прав SELECT через сообщения сервера об ошибках.
CVE-2015-0241:
Чтение/запись за пределами массива
Функция to_char() может осуществлять чтение/запись за пределами буфера. Это
может приводить к аварийному завершению работы сервера при обработке форматирующего шаблона.
CVE-2015-0243:
Переполнение буфера в contrib/pgcrypto
Модуль pgcrypto содержит переполнение буфера, которое может приводить к
аварийному завершению работы сервера.
CVE-2015-0244:
Инъекция команд SQL
Эмиль Ленгрен сообщил о том, что злоумышленник может ввести команды SQL в
момент, когда теряется синхронизация клиента и сервера.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 9.1.15-0+deb7u1.
В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 9.1.14-0+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 9.1.15-0+deb8u1.
Рекомендуется обновить пакеты postgresql-9.1.
несколько уязвимостей.
CVE-2014-8161:
Утечка информации
Пользователь с ограниченным допуском к таблице может получить доступ к информации
в столбцах без прав SELECT через сообщения сервера об ошибках.
CVE-2015-0241:
Чтение/запись за пределами массива
Функция to_char() может осуществлять чтение/запись за пределами буфера. Это
может приводить к аварийному завершению работы сервера при обработке форматирующего шаблона.
CVE-2015-0243:
Переполнение буфера в contrib/pgcrypto
Модуль pgcrypto содержит переполнение буфера, которое может приводить к
аварийному завершению работы сервера.
CVE-2015-0244:
Инъекция команд SQL
Эмиль Ленгрен сообщил о том, что злоумышленник может ввести команды SQL в
момент, когда теряется синхронизация клиента и сервера.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 9.1.15-0+deb7u1.
В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 9.1.14-0+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 9.1.15-0+deb8u1.
Рекомендуется обновить пакеты postgresql-9.1.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
postgresql-9.1 - 9.1.15-0+deb7u1
Debian GNU/Linux 7:
noarch:
postgresql-9.1 - 9.1.15-0+deb7u1
Ссылки
http://www.debian.org/security/dsa-3155/
Источник: CVE
Наименование: CVE-2015-0244
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0244
Источник: CVE
Наименование: CVE-2014-8161
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8161
Источник: CVE
Наименование: CVE-2015-0241
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0241
Источник: CVE
Наименование: CVE-2015-0243
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0243
Источник: CVE
Наименование: CVE-2015-0244
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0244
Источник: CVE
Наименование: CVE-2014-8161
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8161
Источник: CVE
Наименование: CVE-2015-0241
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0241
Источник: CVE
Наименование: CVE-2015-0243
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0243