正文

多款产品postgresql-common包安全漏洞

admin
admin V管理员 /0 评论 /17 阅读
0210
此篇文章发布距今已超过1179天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

多款产品postgresql-common包安全漏洞

  • CNNVD编号:CNNVD-201712-095
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2016-1255
  • 漏洞类型: 后置链接
  • 发布时间: 2017-12-06
  • 威胁类型: 本地
  • 更新时间: 2017-12-06
  • 厂        商: debian
  • 漏洞来源:

漏洞简介

Debian是Debian Project合作组织创建的以Linux或FreeBSD为内核的自由操作系统。wheezy、jessie和unstable都是Debian的分支版本。Ubuntu是英国科能(Canonical)公司和Ubuntu基金会共同开发的一套以桌面应用为主的GNU/Linux操作系统。postgresql-common package是一个使用在Linux中的PostgresSQL数据库集群管理器。

多款产品中的postgresql-common包的pg_ctlcluster脚本存在安全漏洞。本地攻击者可通过对/var/log/postgresql中的日志文件实施符号链接攻击利用该漏洞获取root权限。以下产品和版本受到影响:Debian wheezy 134wheezy5之前的版本;Debian jessie 165+deb8u2之前的版本;Debian unstable 178之前的版本;Ubuntu 129ubuntu1.2之前的2.04 LTS版本;Ubuntu 154ubuntu1.1之前的14.04版本;Ubuntu 173ubuntu0.1之前的16.04版本;Ubuntu 179ubuntu0.1之前的17.04版本;Ubuntu 184ubuntu1.1之前的17.10版本。

漏洞公告

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://usn.ubuntu.com/usn/USN-3476-2/

https://lists.debian.org/debian-lts-announce/2017/01/msg00002.html

参考网址

来源:UBUNTU

链接:http://www.ubuntu.com/usn/USN-3476-2

来源:CONFIRM

链接:https://anonscm.debian.org/cgit/pkg-postgresql/postgresql-common.git/commit/?id=c8989206ec360f199400c74f129f7b4cb878c1ee

来源:MLIST

链接:https://lists.debian.org/debian-lts-announce/2017/01/msg00002.html

受影响实体

  • Debian Postgresql-Common:20  
    <!--
    2000-1-1
    -->
  • Debian Postgresql-Common:18  
    <!--
    2000-1-1
    -->
  • Debian Postgresql-Common:17  
    <!--
    2000-1-1
    -->
  • Debian Postgresql-Common:16  
    <!--
    2000-1-1
    -->
  • Debian Postgresql-Common:15  
    <!--
    2000-1-1
    -->

补丁

  • 多款产品postgresql-common包安全漏洞的修复措施
    <!--
    2017-12-6
    -->