Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
libecpg6
(any)
libecpg-compat3
(any)
libecpg-dev
(any)
libpgtypes3
(any)
libpq5
(any)
libpq-dev
(any)
postgresql-9.6
(any)
postgresql-9.6-dbg
(any)
postgresql-client-9.6
(any)
postgresql-contrib-9.6
(any)
postgresql-doc-9.6
(any)
postgresql-plperl-9.6
(any)
postgresql-plpython3-9.6
(any)
postgresql-plpython-9.6
(any)
postgresql-pltcl-9.6
(any)
postgresql-server-dev-9.6
(any)
Описание
В системе баз данных PostgreSQL были обнаружены две уязвимости:
CVE-2018-10915
Андрей Красичков обнаружил, что libpq не сбрасывает все свои состояния
соединений во время установки повторных соединений.
CVE-2018-10925
Было обнаружено, что некоторые утверждения CREATE TABLE могут
раскрывать содержимое памяти сервера.
За дополнительной информацией обращайтесь к анонсу основной ветки разработки по адресу
https://www.postgresql.org/about/news/1878/
https://www.postgresql.org/about/news/1878/">https://www.postgresql.org/about/news/1878/
/> В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 9.6.10-0+deb9u1.
Рекомендуется обновить пакеты postgresql-9.6.
С подробным статусом поддержки безопасности postgresql-9.6 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/postgresql-9.6">https://security-tracker.debian.org/tracker/postgresql-9.6">https://security-tracker.debian.org/tracker/postgresql-9.6
CVE-2018-10915
Андрей Красичков обнаружил, что libpq не сбрасывает все свои состояния
соединений во время установки повторных соединений.
CVE-2018-10925
Было обнаружено, что некоторые утверждения CREATE TABLE могут
раскрывать содержимое памяти сервера.
За дополнительной информацией обращайтесь к анонсу основной ветки разработки по адресу
https://www.postgresql.org/about/news/1878/
https://www.postgresql.org/about/news/1878/">https://www.postgresql.org/about/news/1878/
/> В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 9.6.10-0+deb9u1.
Рекомендуется обновить пакеты postgresql-9.6.
С подробным статусом поддержки безопасности postgresql-9.6 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/postgresql-9.6">https://security-tracker.debian.org/tracker/postgresql-9.6">https://security-tracker.debian.org/tracker/postgresql-9.6
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libecpg-compat3 - 9.6.10-0+deb9u1
libecpg-dev - 9.6.10-0+deb9u1
libecpg6 - 9.6.10-0+deb9u1
libpgtypes3 - 9.6.10-0+deb9u1
libpq-dev - 9.6.10-0+deb9u1
libpq5 - 9.6.10-0+deb9u1
postgresql-9.6 - 9.6.10-0+deb9u1
postgresql-9.6-dbg - 9.6.10-0+deb9u1
postgresql-client-9.6 - 9.6.10-0+deb9u1
postgresql-contrib-9.6 - 9.6.10-0+deb9u1
postgresql-doc-9.6 - 9.6.10-0+deb9u1
postgresql-plperl-9.6 - 9.6.10-0+deb9u1
postgresql-plpython-9.6 - 9.6.10-0+deb9u1
postgresql-plpython3-9.6 - 9.6.10-0+deb9u1
postgresql-pltcl-9.6 - 9.6.10-0+deb9u1
postgresql-server-dev-9.6 - 9.6.10-0+deb9u1
Debian GNU/Linux 9:
noarch:
libecpg-compat3 - 9.6.10-0+deb9u1
libecpg-dev - 9.6.10-0+deb9u1
libecpg6 - 9.6.10-0+deb9u1
libpgtypes3 - 9.6.10-0+deb9u1
libpq-dev - 9.6.10-0+deb9u1
libpq5 - 9.6.10-0+deb9u1
postgresql-9.6 - 9.6.10-0+deb9u1
postgresql-9.6-dbg - 9.6.10-0+deb9u1
postgresql-client-9.6 - 9.6.10-0+deb9u1
postgresql-contrib-9.6 - 9.6.10-0+deb9u1
postgresql-doc-9.6 - 9.6.10-0+deb9u1
postgresql-plperl-9.6 - 9.6.10-0+deb9u1
postgresql-plpython-9.6 - 9.6.10-0+deb9u1
postgresql-plpython3-9.6 - 9.6.10-0+deb9u1
postgresql-pltcl-9.6 - 9.6.10-0+deb9u1
postgresql-server-dev-9.6 - 9.6.10-0+deb9u1
Ссылки
http://www.debian.org/security/dsa-4269/
Источник: CVE
Наименование: CVE-2018-10925
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10925
Источник: CVE
Наименование: CVE-2018-10915
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10915
Источник: CVE
Наименование: CVE-2018-10925
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10925
Источник: CVE
Наименование: CVE-2018-10915
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10915