Bulletin d'alerte Debian

DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0 -- Hachage de mot de passe faible

Date du rapport :
7 novembre 2011
Paquets concernés :
postgresql-8.3
postgresql-8.4
postgresql-9.0
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 631285.
Dans le dictionnaire CVE du Mitre : CVE-2011-2483.
Plus de précisions :

magnum a découvert que le hachage de mot de passe blowfish utilisé entre autres dans PostgreSQL contenait une faiblesse qui donnerait aux mots de passe avec des caractères 8 bits des hachages identiques à leurs équivalents plus faibles.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 8.3.16-0lenny1 de postgresql-8.3.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 8.4.9-0squeeze1 de postgresql-8.4.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 8.4.9-1 de postgresql-8.4, dans postgresql-9.0 9.0.5-1 et postgresql-9.1 9.1~rc1-1.

Les mises à jours contiennent aussi des améliorations de fiabilité, originellement prévues pour être incluses dans la prochaine mise à jour de stable ; pour plus de précisions, veuillez consulter leurs journaux de modifications respectifs.

Nous vous recommandons de mettre à jour vos paquets postgresql.