Debian セキュリティ勧告

DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0 -- 弱いパスワードハッシュ

報告日時:
2011-11-07
影響を受けるパッケージ:
postgresql-8.3
postgresql-8.4
postgresql-9.0
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 631285.
Mitre の CVE 辞書: CVE-2011-2483.
詳細:

magnum さんにより、PostgreSQL を含む各所で使われている blowfish パス ワードハッシュに暗号学上の弱点があり、8bit 文字がパスワードに含まれ ている場合に、同じハッシュをもつ弱い相当パスワードを簡単に得ることが できることが発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 8.3.16-0lenny1 の postgresql-8.3 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバ ージョン 8.4.9-0squeeze1 の postgresql-8.4 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題は順に postgresql-8.4 のバージョン 8.4.9-1、postgresql-9.0 の 9.0.5-1、 postgresql-9.1 の 9.1~rc1-1 で修正されています。

この更新では、次のポイントリリースで予定されていた信頼性に関する修正 も含まれています。詳細は changelog を参照ください。

直ぐに postgresql パッケージをアップグレードすることを勧めます。