• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4568-1 postgresql-common -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4568-1 postgresql-common -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Описание
Рич Мирч обнаружил, что сценарий pg_ctlcluster не сбрасывает права доступа
при создании временных каталогов для сокетов/статистики, что может
приводить к локальному повышению привилегий.
В предыдущем стабильном выпуске (stretch) эта проблема была исправлена
в версии 181+deb9u3.
В стабильном выпуске (buster) эта проблема была исправлена в
версии 200+deb10u3.
Рекомендуется обновить пакеты postgresql-common.
С подробным статусом поддержки безопасности postgresql-common можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/postgresql-common">https://security-tracker.debian.org/tracker/postgresql-common">https://security-tracker.debian.org/tracker/postgresql-common
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
postgresql - 181+deb9u3
postgresql-all - 181+deb9u3
postgresql-client - 181+deb9u3
postgresql-client-common - 181+deb9u3
postgresql-common - 181+deb9u3
postgresql-contrib - 181+deb9u3
postgresql-doc - 181+deb9u3
postgresql-server-dev-all - 181+deb9u3
Debian GNU/Linux 10:
noarch:
postgresql - 200+deb10u3
postgresql-all - 200+deb10u3
postgresql-client - 200+deb10u3
postgresql-client-common - 200+deb10u3
postgresql-common - 200+deb10u3
postgresql-contrib - 200+deb10u3
postgresql-doc - 200+deb10u3
postgresql-server-dev-all - 200+deb10u3
Ссылки
Источник: CVE
Наименование: CVE-2019-3466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3466

http://www.debian.org/security/dsa-4568/