GLSA 201810-08: PostgreSQL: Multiple vulnerabilities
| Опасность: | высокая |
| Заголовок: | PostgreSQL: Multiple vulnerabilities |
| Дата: | 30.10.2018 |
| Ошибки: | , , |
| ID: | 201810-08 |
Сводка
Multiple vulnerabilities have been found in PostgreSQL, the worst which could lead to privilege escalation.Назначение
PostgreSQL is an open source object-relational database management system.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| dev-db/postgresql | < 10.5 | >= 9.3.24 | All supported architectures |
Описание
Multiple vulnerabilities have been discovered in PostgreSQL. Please review the referenced CVE identifiers for details.
In addition it was discovered that Gentoo’s PostgreSQL installation suffered from a privilege escalation vulnerability due to a runscript which called OpenRC’s checkpath() on a user controlled path and allowed user running PostgreSQL to kill arbitrary processes via PID file manipulation.
Воздействие
A remote attacker could bypass certain client-side connection security features, read arbitrary server memory or alter certain data.
In addition, a local attacker could gain privileges or cause a Denial of Service condition by killing arbitrary processes.
Обход
There is no known workaround at this time.
Решение
All PostgreSQL users up to 9.3 should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-db/postgresql-9.3.24:9.3"
All PostgreSQL 9.4 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-db/postgresql-9.4.19:9.4"
All PostgreSQL 9.5 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-db/postgresql-9.5.14:9.5"
All PostgreSQL 9.6 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-db/postgresql-9.6.10:9.6"
All PostgreSQL 10 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-db/postgresql-10.5:10"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.