Рекомендация Debian по безопасности
DLA-329-1 postgresql-8.4 -- обновление безопасности LTS
- Дата сообщения:
- 19.10.2015
- Затронутые пакеты:
- postgresql-8.4
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
- Более подробная информация:
-
В PostgreSQL, серверной системе реляционных баз данных, было обнаружено несколько ошибок. Поддержка ветки 8.4 в основной ветке разработки была прекращена, но она всё ещё имеется в Debian squeeze. Данная новая минорная версия для LTS содержит исправления, которые применены авторами основной ветки разработки к версии 9.0.22. Указанные исправления были адаптированы для версии 8.4.22, которая является последней версией, официально выпущенной разработчиками PostgreSQL. Данная работа над долгосрочной поддержкой для squeeze-lts является проектом сообщества и была поддержана credativ GmbH.
Переход на версию 8.4.22lts5
Тем, кто использует версию 8.4.X делать dump/restore не требуется. Тем не менее, если вы выполняете обновление с версии ниже 8.4.22, то обратитесь к соответствующей информации о выпуске.
Исправления безопасности
Исправления contrib/pgcrypto с целью обнаружения и сообщения о слишком короткой соли для шифрования (Джош Каперсмит)
Определённые неправильные аргументы соли приводят к аварийной остановке сервера или раскрытию нескольки байт серверной памяти. Возможность атак с целью выявления конфиденциальной информации в раскрытых байтах не исключается, но подобные ситуации кажутся маловероятными. (CVE-2015-5288)