Mordred Labs 及びそのほかの人たちにより、オブジェクト指向リレーショナルデータベース PostgreSQL に複数の問題が発見されました。これらは、いくつかのバッファ オーバフローや整数オーバフローが原因となっています。 特別に作成された長い日時情報、通貨、繰り返しデータおよび長いタイムゾーンの名称により、 PostgreSQL サーバをクラッシュさせることができます。 また、lpad() と rpad() からの入力データも同様の問題があります。 これ以外にも、バッファ/整数オーバフローが circle_poly() path_encode() および path_addr() 周りで発見されています。
最後の三つ以外は、上流の PostgreSQL リリース 7.2.2 で修正されており、このバージョンの使用が推奨されています。
これらの問題の大半は、前安定版 (stable) potato に収録された版の PostgreSQL にはありません。 これは問題に関連した関数がこの時点では実装されていないためです。 しかしながら PostgreSQL 6.5.3 は相当に古く、私たちが気がついていないバッファオーバフローなどの問題点を持つ危険性が高いものですし、 またあなたのデータの整合性を危険に晒すバグを確かに含んでいます。
このため、今回の修正版を使わずに Debian 3.0 (woody) にアップグレードして、収録された PostgreSQL 7.2.1 を代わりに使うことを強く推奨します。 この版は多くのバグが修正されており、SQL 標準への互換性を向上させる新機能が追加されています。
アップグレードを検討される場合、データベース全体を pg_dumpall ユーティリティでダンプするようにしてください。また、新しい PostgreSQL の方が入力を厳格に扱うことを考慮下さい。例えば、元々有効ではなかった "foo = NULL" などのテスト行は新しい版では受け付けられなくなっています。 また、Unicode エンコーディングを用いる場合、関係表にデータを挿入する際のエンコーディングとして ISO-8859-1 と ISO-8859-15 は無効になりました。この場合、問題のダンプを recode latin1..utf-16 にコード変換することが推奨されています。
これらの問題は現安定版 (stable) woody ではバージョン 7.2.1-2woody2 で、不安定版 (unstable) sid ではバージョン 7.2.2-2 で修正されています。 また、前安定版 (stable) potato にも一部影響があり、修正版はバージョン 6.5.3-27.2 です。
直ぐに PostgreSQL パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。