• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3270-1 postgresql-9.4 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3270-1 postgresql-9.4 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В PostgreSQL-9.4, системе баз данных SQL, было обнаружено несколько
уязвимостей.

CVE-2015-3165
    (удалённое аварийное завершение работы)
SSL-клиенты, разрывающие соединение до истечения срока аутентификации,
    могут вызвать аварийное завершение работы сервера.
CVE-2015-3166
    (раскрытие информации)
Новая реализация snprintf() не выполняет проверку
    ошибок, о которых сообщают подлежащие вызовы системной библиотеки; в первую
    очередь вероятно отсутствует проверка на чтение за пределами памяти. В худшем
    случае это может приводить к раскрытию информации.
CVE-2015-3167
    (возможное раскрытие ключа через сторонний канал)
contrib/pgcrypto в некоторых случаях расшифровки с некорректным ключом
    может выводить другой текст сообщения об ошибке. Исправлено путём использования
    сообщения one-size-fits-all.

В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 9.4.2-0+deb8u1.
В тестируемом выпуске (stretch) эти проблемы будут исправлены
позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 9.4.2-1.
Рекомендуется обновить пакеты postgresql-9.4.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
postgresql-9.4 - 9.4.2-0+deb8u1
Ссылки
http://www.debian.org/security/dsa-3270/

Источник: CVE
Наименование: CVE-2015-3165
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3165

Источник: CVE
Наименование: CVE-2015-3167
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3167

Источник: CVE
Наименование: CVE-2015-3166
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3166