Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
libecpg6
(any)
libecpg-compat3
(any)
libecpg-dev
(any)
libpgtypes3
(any)
libpq5
(any)
libpq-dev
(any)
postgresql-9.1
(any)
postgresql-9.1-dbg
(any)
postgresql-client-9.1
(any)
postgresql-contrib-9.1
(any)
postgresql-doc-9.1
(any)
postgresql-plperl-9.1
(any)
postgresql-plpython3-9.1
(any)
postgresql-plpython-9.1
(any)
postgresql-pltcl-9.1
(any)
postgresql-server-dev-9.1
(any)
Описание
В PostgreSQL-9.1, системе баз данных SQL, было обнаружено несколько
уязвимостей.
CVE-2015-3165
(удалённое аварийное завершение работы)
SSL-клиенты, разрывающие соединение до истечения срока аутентификации,
могут вызвать аварийное завершение работы сервера.
CVE-2015-3166
(раскрытие информации)
Новая реализация snprintf() не выполняет проверку
ошибок, о которых сообщают подлежащие вызовы системной библиотеки; в первую
очередь вероятно отсутствует проверка на чтение за пределами памяти. В худшем
случае это может приводить к раскрытию информации.
CVE-2015-3167
(возможное раскрытие ключа через сторонний канал)
contrib/pgcrypto в некоторых случаях расшифровки с некорректным ключом
может выводить другой текст сообщения об ошибке. Исправлено путём использования
сообщения one-size-fits-all.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 9.1.16-0+deb7u1.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 9.1.16-0+deb8u1. (Jessie содержит урезанный пакет
postgresql-9.1; только CVE-2015-3166 исправлена в производном двоичном пакете
postgresql-plperl-9.1. Рекомендуется выполнить обновление до пакета postgresql-9.4, чтобы
получить полный набор исправлений. Подробности см. в информации о выпуске Jessie.)
В тестируемом (stretch) и нестабильном (sid) выпусках
пакет postgresql-9.1 отсутствует.
Рекомендуется обновить пакеты postgresql-9.1.
уязвимостей.
CVE-2015-3165
(удалённое аварийное завершение работы)
SSL-клиенты, разрывающие соединение до истечения срока аутентификации,
могут вызвать аварийное завершение работы сервера.
CVE-2015-3166
(раскрытие информации)
Новая реализация snprintf() не выполняет проверку
ошибок, о которых сообщают подлежащие вызовы системной библиотеки; в первую
очередь вероятно отсутствует проверка на чтение за пределами памяти. В худшем
случае это может приводить к раскрытию информации.
CVE-2015-3167
(возможное раскрытие ключа через сторонний канал)
contrib/pgcrypto в некоторых случаях расшифровки с некорректным ключом
может выводить другой текст сообщения об ошибке. Исправлено путём использования
сообщения one-size-fits-all.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 9.1.16-0+deb7u1.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 9.1.16-0+deb8u1. (Jessie содержит урезанный пакет
postgresql-9.1; только CVE-2015-3166 исправлена в производном двоичном пакете
postgresql-plperl-9.1. Рекомендуется выполнить обновление до пакета postgresql-9.4, чтобы
получить полный набор исправлений. Подробности см. в информации о выпуске Jessie.)
В тестируемом (stretch) и нестабильном (sid) выпусках
пакет postgresql-9.1 отсутствует.
Рекомендуется обновить пакеты postgresql-9.1.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
libecpg-compat3 - 9.1.16-0+deb7u2
libecpg-dev - 9.1.16-0+deb7u2
libecpg6 - 9.1.16-0+deb7u2
libpgtypes3 - 9.1.16-0+deb7u2
libpq-dev - 9.1.16-0+deb7u2
libpq5 - 9.1.16-0+deb7u2
postgresql-9.1 - 9.1.16-0+deb7u2
postgresql-9.1-dbg - 9.1.16-0+deb7u2
postgresql-client-9.1 - 9.1.16-0+deb7u2
postgresql-contrib-9.1 - 9.1.16-0+deb7u2
postgresql-doc-9.1 - 9.1.16-0+deb7u2
postgresql-plperl-9.1 - 9.1.16-0+deb7u2
postgresql-plpython-9.1 - 9.1.16-0+deb7u2
postgresql-plpython3-9.1 - 9.1.16-0+deb7u2
postgresql-pltcl-9.1 - 9.1.16-0+deb7u2
postgresql-server-dev-9.1 - 9.1.16-0+deb7u2
Debian GNU/Linux 7:
noarch:
libecpg-compat3 - 9.1.16-0+deb7u2
libecpg-dev - 9.1.16-0+deb7u2
libecpg6 - 9.1.16-0+deb7u2
libpgtypes3 - 9.1.16-0+deb7u2
libpq-dev - 9.1.16-0+deb7u2
libpq5 - 9.1.16-0+deb7u2
postgresql-9.1 - 9.1.16-0+deb7u2
postgresql-9.1-dbg - 9.1.16-0+deb7u2
postgresql-client-9.1 - 9.1.16-0+deb7u2
postgresql-contrib-9.1 - 9.1.16-0+deb7u2
postgresql-doc-9.1 - 9.1.16-0+deb7u2
postgresql-plperl-9.1 - 9.1.16-0+deb7u2
postgresql-plpython-9.1 - 9.1.16-0+deb7u2
postgresql-plpython3-9.1 - 9.1.16-0+deb7u2
postgresql-pltcl-9.1 - 9.1.16-0+deb7u2
postgresql-server-dev-9.1 - 9.1.16-0+deb7u2
Ссылки
http://www.debian.org/security/dsa-3269/
Источник: CVE
Наименование: CVE-2015-3165
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3165
Источник: CVE
Наименование: CVE-2015-3167
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3167
Источник: CVE
Наименование: CVE-2015-3166
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3166
Источник: CVE
Наименование: CVE-2015-3165
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3165
Источник: CVE
Наименование: CVE-2015-3167
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3167
Источник: CVE
Наименование: CVE-2015-3166
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3166