Bulletin d'alerte Debian

DSA-2657-1 postgresql-8.4 -- Nombres aléatoires devinables

Date du rapport :
4 avril 2013
Paquets concernés :
postgresql-8.4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-1900.
Plus de précisions :

Une vulnérabilité a été découverte dans le serveur de bases de données PostgreSQL. Un autre utilisateur de base de données pourrait facilement deviner les nombres aléatoires générés par les fonctions contrib/pgcrypto.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 8.4.17-0squeeze1.

Pour les distributions testing (Wheezy) et unstable (Sid), les paquets postgresql-8.4 ont été supprimés. Dans ces distributions, ce problème a été corrigé dans la version 9.1.9-0wheezy1 de postgresql-9.1 pour Wheezy et 9.1.9-1 pour Sid.

Remarque : postgresql-8.4 dans Squeeze n’est pas concerné par CVE-2013-1899 (corruption de fichiers de base de données) ni CVE-2013-1901 (un utilisateur sans droit peut interférer avec des sauvegardes en cours).

Nous vous recommandons de mettre à jour vos paquets postgresql-8.4.