Debians sikkerhedsbulletin

DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0 -- svag adgangskodehashing

Rapporteret den:
7. nov 2011
Berørte pakker:
postgresql-8.3
postgresql-8.4
postgresql-9.0
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 631285.
I Mitres CVE-ordbog: CVE-2011-2483.
Yderligere oplysninger:

magnum opdagede at blowfish-adgangskodehashingen, som blandt andre anvendes i PostgreSQL, indeholdt en svaghed, der kunne give adgangskoder med 8-bit-tegn den samme hash, som svagere tilsvarende koder.

I den gamle stabile distribution (lenny), er dette problem rettet i postgresql-8.3 version 8.3.16-0lenny1.

I den stabile distribution (squeeze), er dette problem rettet i postgresql-8.4 version 8.4.9-0squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i postgresql-8.4 version 8.4.9-1, postgresql-9.0 9.0.5-1 og postgresql-9.1 9.1~rc1-1.

Opdateringerne indeholder også pålidelighedsforbedringer, oprindelig planlagt til at blive medtaget i den næste punktopdatering; for detaljerede oplysninger se de respektive changelogs.

Vi anbefaler at du opgraderer dine postgresql-pakker.