Информация по безопасности / 2017 / Информация о безопасности -- DSA-3851-1 postgresql-9.4

Рекомендация Debian по безопасности

DSA-3851-1 postgresql-9.4 -- обновление безопасности

Дата сообщения:

12.05.2017

Затронутые пакеты:

postgresql-9.4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-7484, CVE-2017-7485, CVE-2017-7486.

Более подробная информация:

В системе баз данных PostgreSQL было обнаружено несколько уязвимостей:

• CVE-2017-7484

  Роберт Хаас обнаружил, что некоторые блоки статистики выборки не выполняют проверку прав доступа пользователя, что может приводить к раскрытию информации.

• CVE-2017-7485

  Дэниел Густафсон обнаружил, что переменная окружения PGREQUIRESSL более не приводит к обязательному использованию TLS-соединения.

• CVE-2017-7486

  Эндрю Уилрайт обнаружил, что пользовательские преобразования данных ограничиваются недостаточным образом.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 9.4.12-0+deb8u1.

Рекомендуется обновить пакеты postgresql-9.4.