Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
libecpg6
(any)
libecpg-compat3
(any)
libecpg-dev
(any)
libpgtypes3
(any)
libpq5
(any)
libpq-dev
(any)
postgresql-9.4
(any)
postgresql-9.4-dbg
(any)
postgresql-client-9.4
(any)
postgresql-contrib-9.4
(any)
postgresql-doc-9.4
(any)
postgresql-plperl-9.4
(any)
postgresql-plpython3-9.4
(any)
postgresql-plpython-9.4
(any)
postgresql-pltcl-9.4
(any)
postgresql-server-dev-9.4
(any)
Описание
В системе баз данных PostgreSQL было обнаружено несколько
уязвимостей:
CVE-2017-7484
Роберт Хаас обнаружил, что некоторые блоки статистики выборки не выполняют
проверку прав доступа пользователя, что может приводить к раскрытию
информации.
CVE-2017-7485
Дэниел Густафсон обнаружил, что переменная окружения PGREQUIRESSL
более не приводит к обязательному использованию TLS-соединения.
CVE-2017-7486
Эндрю Уилрайт обнаружил, что пользовательские преобразования данных ограничиваются
недостаточным образом.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 9.4.12-0+deb8u1.
Рекомендуется обновить пакеты postgresql-9.4.
уязвимостей:
CVE-2017-7484
Роберт Хаас обнаружил, что некоторые блоки статистики выборки не выполняют
проверку прав доступа пользователя, что может приводить к раскрытию
информации.
CVE-2017-7485
Дэниел Густафсон обнаружил, что переменная окружения PGREQUIRESSL
более не приводит к обязательному использованию TLS-соединения.
CVE-2017-7486
Эндрю Уилрайт обнаружил, что пользовательские преобразования данных ограничиваются
недостаточным образом.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 9.4.12-0+deb8u1.
Рекомендуется обновить пакеты postgresql-9.4.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
libecpg-compat3 - 9.4.12-0+deb8u1
libecpg-dev - 9.4.12-0+deb8u1
libecpg6 - 9.4.12-0+deb8u1
libpgtypes3 - 9.4.12-0+deb8u1
libpq-dev - 9.4.12-0+deb8u1
libpq5 - 9.4.12-0+deb8u1
postgresql-9.4 - 9.4.12-0+deb8u1
postgresql-9.4-dbg - 9.4.12-0+deb8u1
postgresql-client-9.4 - 9.4.12-0+deb8u1
postgresql-contrib-9.4 - 9.4.12-0+deb8u1
postgresql-doc-9.4 - 9.4.12-0+deb8u1
postgresql-plperl-9.4 - 9.4.12-0+deb8u1
postgresql-plpython-9.4 - 9.4.12-0+deb8u1
postgresql-plpython3-9.4 - 9.4.12-0+deb8u1
postgresql-pltcl-9.4 - 9.4.12-0+deb8u1
postgresql-server-dev-9.4 - 9.4.12-0+deb8u1
Debian GNU/Linux 8:
noarch:
libecpg-compat3 - 9.4.12-0+deb8u1
libecpg-dev - 9.4.12-0+deb8u1
libecpg6 - 9.4.12-0+deb8u1
libpgtypes3 - 9.4.12-0+deb8u1
libpq-dev - 9.4.12-0+deb8u1
libpq5 - 9.4.12-0+deb8u1
postgresql-9.4 - 9.4.12-0+deb8u1
postgresql-9.4-dbg - 9.4.12-0+deb8u1
postgresql-client-9.4 - 9.4.12-0+deb8u1
postgresql-contrib-9.4 - 9.4.12-0+deb8u1
postgresql-doc-9.4 - 9.4.12-0+deb8u1
postgresql-plperl-9.4 - 9.4.12-0+deb8u1
postgresql-plpython-9.4 - 9.4.12-0+deb8u1
postgresql-plpython3-9.4 - 9.4.12-0+deb8u1
postgresql-pltcl-9.4 - 9.4.12-0+deb8u1
postgresql-server-dev-9.4 - 9.4.12-0+deb8u1
Ссылки
http://www.debian.org/security/dsa-3851/
Источник: CVE
Наименование: CVE-2017-7484
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7484
Источник: CVE
Наименование: CVE-2017-7485
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7485
Источник: CVE
Наименование: CVE-2017-7486
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7486
Источник: CVE
Наименование: CVE-2017-7484
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7484
Источник: CVE
Наименование: CVE-2017-7485
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7485
Источник: CVE
Наименование: CVE-2017-7486
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7486