Рекомендация Debian по безопасности

DSA-2657-1 postgresql-8.4 -- случайные числа, которые можно укадать

Дата сообщения:
04.04.2013
Затронутые пакеты:
postgresql-8.4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-1900.
Более подробная информация:

Уязвимость была обнаружена в сервере баз данных PostgreSQL. Случайные числа, генерируемые функциями contrib/pgcrypto, легко могут быть угаданы другим пользователем базы данных.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 8.4.17-0squeeze1.

В тестируемом (wheezy) и нестабильном (sid) выпусках пакеты postgresql-8.4 были удалены; в этих выпусках данная проблема была исправлена в postgresql-9.1 9.1.9-0wheezy1 (wheezy) и 9.1.9-1 (sid) соответственно.

Внимание: postgresql-8.4 в Squeeze не подвержен CVE-2013-1899 (повреждение файлов базы данных) и CVE-2013-1901 (непривилегированный пользователь может мешать работающему процессу резервного копирования).

Рекомендуется обновить пакеты postgresql-8.4.