Рекомендация Debian по безопасности

DLA-329-1 postgresql-8.4 -- обновление безопасности LTS

Дата сообщения:
19.10.2015
Затронутые пакеты:
postgresql-8.4
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

В PostgreSQL, серверной системе реляционных баз данных, было обнаружено несколько ошибок. Поддержка ветки 8.4 в основной ветке разработки была прекращена, но она всё ещё имеется в Debian squeeze. Данная новая минорная версия для LTS содержит исправления, которые применены авторами основной ветки разработки к версии 9.0.22. Указанные исправления были адаптированы для версии 8.4.22, которая является последней версией, официально выпущенной разработчиками PostgreSQL. Данная работа над долгосрочной поддержкой для squeeze-lts является проектом сообщества и была поддержана credativ GmbH.

Переход на версию 8.4.22lts5

Тем, кто использует версию 8.4.X делать dump/restore не требуется. Тем не менее, если вы выполняете обновление с версии ниже 8.4.22, то обратитесь к соответствующей информации о выпуске.

Исправления безопасности

Исправления contrib/pgcrypto с целью обнаружения и сообщения о слишком короткой соли для шифрования (Джош Каперсмит)

Определённые неправильные аргументы соли приводят к аварийной остановке сервера или раскрытию нескольких байт серверной памяти. Возможность атак с целью выявления конфиденциальной информации в раскрытых байтах не исключается, но подобные ситуации кажутся маловероятными. (CVE-2015-5288)