[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:56476] [Translate] [SECURITY] [DSA 2534-1] postgresql-8.4 security update
くぼです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2534-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
August 25, 2012 http://www.debian.org/security/faq
- -------------------------------------------------------------------------
Package : postgresql-8.4
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2012-3488 CVE-2012-3489
SQLデータベースの PostgreSQL に XML の処理に関係した二つの脆弱性が
見つかりました。
CVE-2012-3488
contrib/xml2 の xslt_process() を使って外部のファイルや URL
を読み書きできてしまいます。
CVE-2012-3489
xml_parse() は、DTD と XML の値の中のエンティティ参照を解決
するために外部のファイルや URL を取得します。
この修正は問題のある機能を除去しますが,正当な方法でその機能を使うア
プリケーションを壊してしまうかもしれません。
これらの脆弱性の特質により、データベースに間接的にしかアクセスでき
ない攻撃者でも、脆弱性を衝く細工を施した XML データを与えることがで
きます。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 8.4.13-0squeeze1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題は
postgresql-9.1 パッケージのバージョン 9.1.5-1 で修正されています。
直ぐに postgresql-8.4 パッケージをアップグレードすることを勧めます。
Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
---
久保博 <h-kubo@xxxxxxxxxxxx>