Debians sikkerhedsbulletin
DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0 -- svag adgangskodehashing
- Rapporteret den:
- 7. nov 2011
- Berørte pakker:
-
postgresql-8.3
postgresql-8.4
postgresql-9.0 - Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 631285.
I Mitres CVE-ordbog: CVE-2011-2483. - Yderligere oplysninger:
-
magnum opdagede at blowfish-adgangskodehashingen, som blandt andre anvendes i PostgreSQL, indeholdt en svaghed, der kunne give adgangskoder med 8-bit-tegn den samme hash, som svagere tilsvarende koder.
I den gamle stabile distribution (lenny), er dette problem rettet i postgresql-8.3 version 8.3.16-0lenny1.
I den stabile distribution (squeeze), er dette problem rettet i postgresql-8.4 version 8.4.9-0squeeze1.
I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i postgresql-8.4 version 8.4.9-1, postgresql-9.0 9.0.5-1 og postgresql-9.1 9.1~rc1-1.
Opdateringerne indeholder også pålidelighedsforbedringer, oprindelig planlagt til at blive medtaget i den næste punktopdatering; for detaljerede oplysninger se de respektive changelogs.
Vi anbefaler at du opgraderer dine postgresql-pakker.