Debians sikkerhedsbulletin

DSA-2657-1 postgresql-8.4 -- gætbare tilfældige tal

Rapporteret den:
4. apr 2013
Berørte pakker:
postgresql-8.4
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-1900.
Yderligere oplysninger:

En sårbarhed blev opdaget i databaseserveren PostgreSQL. Tilfældige tal genereret af contrib/pgcrypto-funktioner kunne måske være lette at gætte for en anden databasebruger.

I den stabile distribution (squeeze), er dette problem rettet i version 8.4.17-0squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er postgresql-8.4-pakkerne blevet fjernet; problemet er rettet i postgresql-9.1, henholdsvis 9.1.9-0wheezy1 (wheezy) og 9.1.9-1 (sid).

Bemærk: postgresql-8.4 i Squeeze er ikke påvirket af CVE-2013-1899 (korruption af databasefiler) og CVE-2013-1901 (upriviligeret bruger kan forstyrre igangværende sikkerhedskopieringer).

Vi anbefaler at du opgraderer dine postgresql-8.4-pakker.