—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-4015 – Schwachstelle in PostgreSQL
In der Funktion gettoken() in contrib/intarray/_int_bool.c im Modul
“intarray” in PostgreSQL 9.0.x vor 9.0.3, 8.4.x vor 8.4.7, 8.3.x vor
8.3.14 und 8.2.x vor 8.2.20 ist eine fehlerhafte Array-Indizierung
moeglich, wodurch ein Buffer Overflow entsteht. Dies erlaubt einem
authentifizierten Angreifer, einen Denial of Service-Angriff
durchzufuehren oder schlimmstenfalls beliebige Befehle auszufuehren,
indem ein Parameter, der aus sehr vielen Zahlen besteht, an eine nicht
spezifizierte Funktion uebergeben wird. Es sei darauf hingewiesen, dass
nur Gefahr besteht, falls das Modul installiert wurde.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket postgresql
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Timo Schulz
– —
Timo Schulz, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-0963
2011-02-01 20:15:13
– ——————————————————————————–
Name : postgresql
Product : Fedora 13
Version : 8.4.7
Release : 1.fc13
URL : http://www.postgresql.org/
Summary : PostgreSQL client programs
Description :
PostgreSQL is an advanced Object-Relational database management system
(DBMS) that supports almost all SQL constructs (including
transactions, subselects and user-defined types and functions). The
postgresql package includes the client programs and libraries that
you’ll need to access a PostgreSQL DBMS server. These PostgreSQL
client programs are programs that directly manipulate the internal
structure of PostgreSQL databases on a PostgreSQL server. These client
programs can be located on the same machine with the PostgreSQL
server, or may be on a remote machine which accesses a PostgreSQL
server over a network connection. This package contains the docs
in HTML for the whole package, as well as command-line utilities for
managing PostgreSQL databases on a PostgreSQL server.
If you want to manipulate a PostgreSQL database on a local or remote PostgreSQL
server, you need this package. You also need to install this package
if you’re installing the postgresql-server package.
– ——————————————————————————–
Update Information:
Update to PostgreSQL 8.4.7, for various fixes described at http://www.postgresql.org/docs/8.4/static/release-8-4-7.html
including the fix for CVE-2010-4015
– ——————————————————————————–
ChangeLog:
* Tue Feb 1 2011 Tom Lane
– – Update to PostgreSQL 8.4.7, for various fixes described at
http://www.postgresql.org/docs/8.4/static/release-8-4-7.html
including the fix for CVE-2010-4015
Resolves: #674296
* Thu Dec 16 2010 Tom Lane
– – Update to PostgreSQL 8.4.6, for various fixes described at
http://www.postgresql.org/docs/8.4/static/release-8-4-6.html
– – Ensure we don’t package any .gitignore files from the source tarball
Related: #642210
* Tue Oct 5 2010 Tom Lane
– – Update to PostgreSQL 8.4.5, for various fixes described at
http://www.postgresql.org/docs/8.4/static/release-8-4-5.html
including the fix for CVE-2010-3433
Related: #639371
– – Add -p “$pidfile” to initscript’s status call to improve corner cases.
Related: #561010
– – Duplicate COPYRIGHT in -libs subpackage, per revised packaging guidelines
* Mon May 17 2010 Tom Lane
– – Update to PostgreSQL 8.4.4, for various fixes described at
http://www.postgresql.org/docs/8.4/static/release-8-4-4.html
including fixes for CVE-2010-1169 and CVE-2010-1170
Resolves: #593032
– ——————————————————————————–
References:
[ 1 ] Bug #664402 – CVE-2010-4015 PostgreSQL: Stack-based buffer overflow by processing certain tokens from SQL query string when intarray module enabled
https://bugzilla.redhat.com/show_bug.cgi?id=664402
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update postgresql’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNU697AAoJEJtyb8U7iGZBgRAIAIDjGPPOAeVrTEbsSTNdBi/b
zzyG/TCzxy10s51XtA1KAKoC4BN/V59KBL231MjXLwoiG6UmoXLT52baDw3Bkrzr
bZyElN+8F+dYob5kzxk2ufohqxClyPtd5EN00kCMqzdbHN3FsPe7Jqto0/lz+TLP
1Eco7ZiRfwawf9YnIoy65wPctTT36/3iHNbE2BHlqY/EB0xqGc6/LTCY4OPeooh2
XgSSj865Lqi5shhDUsO1kkjg6GBLaa0vGTNvxsBvX+K6uPcsAw9shc5msxeRofD8
gGpuV8moe+eTBJFDd47Ie0JcZEIw5/KvKgeHWC2ihBa1up2YRexOn2fskq2tt1Q=
=JKqI
—–END PGP SIGNATURE—–
