Рекомендация Debian по безопасности

DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0 -- слабое хэширование паролей

Дата сообщения:
07.11.2011
Затронутые пакеты:
postgresql-8.3
postgresql-8.4
postgresql-9.0
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 631285.
В каталоге Mitre CVE: CVE-2011-2483.
Более подробная информация:

magnum обнаружил, что хэширование паролей blowfish, используемое среди прочих в PostgreSQL, содержит уязвимость, которая даёт паролям с 8-битными символами тот же хэш, что и более слабым эквивалентам.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в пакете postgresql-8.3 версии 8.3.16-0lenny1.

В стабильном выпуске (squeeze) эта проблема была исправлена в пакете postgresql-8.4 версии 8.4.9-0squeeze1.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в пакетах postgresql-8.4 версии 8.4.9-1, postgresql-9.0 версии 9.0.5-1 и postgresql-9.1 версии 9.1~rc1-1.

Кроме того, данное обновление содержит улучшения надёжности, которые изначально планировались к включению в следующую редакцию; подробности см. в соответствующих журналах изменений.

Рекомендуется обновить пакеты postgresql.