[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:56476] [Translate] [SECURITY] [DSA 2534-1] postgresql-8.4 security update



くぼです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-

- -------------------------------------------------------------------------
Debian Security Advisory DSA-2534-1                   security@debian.org
http://www.debian.org/security/                            Florian Weimer
August 25, 2012                        http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : postgresql-8.4
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2012-3488 CVE-2012-3489

SQLデータベースの PostgreSQL に XML の処理に関係した二つの脆弱性が
見つかりました。

CVE-2012-3488
	contrib/xml2 の xslt_process() を使って外部のファイルや URL
        を読み書きできてしまいます。

CVE-2012-3489
	xml_parse() は、DTD と XML の値の中のエンティティ参照を解決
        するために外部のファイルや URL を取得します。 

この修正は問題のある機能を除去しますが,正当な方法でその機能を使うア
プリケーションを壊してしまうかもしれません。

これらの脆弱性の特質により、データベースに間接的にしかアクセスでき
ない攻撃者でも、脆弱性を衝く細工を施した XML データを与えることがで
きます。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 8.4.13-0squeeze1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は
 postgresql-9.1 パッケージのバージョン 9.1.5-1 で修正されています。

直ぐに postgresql-8.4 パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
---
久保博 <h-kubo@xxxxxxxxxxxx>