Bulletin d'alerte Debian

DLA-329-1 postgresql-8.4 -- Mise à jour de sécurité pour LTS

Date du rapport :
19 octobre 2015
Paquets concernés :
postgresql-8.4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Plusieurs bogues ont été découverts dans PostgreSQL, un système de base de données SQL. Pour l'amont, la branche 8.4 a atteint sa fin de vie, mais elle est encore présente dans Debian Squeeze. Cette nouvelle version mineure LTS fournit les correctifs appliqués par l'amont à la version 9.0.22, rétroportés vers 8.4.22 qui était la dernière version officielle publiée par les développeurs de PostgreSQL. Cette initiative de LTS pour Squeeze-lts est un projet de la communauté parrainé par credativ GmbH.

Migration vers la version 8.4.22lts5

L'utilisation de dump et restore n'est pas nécessaire pour exécuter 8.4.X. Néanmoins si vous faites une mise à niveau à partir d'une version antérieure à 8.4.22, veuillez consultez les notes de publication correspondantes.

Corrections de sécurité

Correction de contrib/pgcrypto pour détecter et rapporter des salages de la fonction « crypt » trop courts (Josh Kupershmidt)

Certain arguments de salage non valables peuvent provoquer le plantage du serveur ou révéler quelques octets de la mémoire du serveur. Nous n'avons pas exclu la faisabilité d'attaques qui s'arrangent pour provoquer la présence d'informations confidentielles dans les octets divulgués, mais elles semblent peu probables. (CVE-2015-5288)