Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0

Debians sikkerhedsbulletin

DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0 -- svag adgangskodehashing

Rapporteret den:

7. nov 2011

Berørte pakker:

postgresql-8.3
postgresql-8.4
postgresql-9.0

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 631285.
I Mitres CVE-ordbog: CVE-2011-2483.

Yderligere oplysninger:

magnum opdagede at blowfish-adgangskodehashingen, som blandt andre anvendes i PostgreSQL, indeholdt en svaghed, der kunne give adgangskoder med 8-bit-tegn den samme hash, som svagere tilsvarende koder.

I den gamle stabile distribution (lenny), er dette problem rettet i postgresql-8.3 version 8.3.16-0lenny1.

I den stabile distribution (squeeze), er dette problem rettet i postgresql-8.4 version 8.4.9-0squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i postgresql-8.4 version 8.4.9-1, postgresql-9.0 9.0.5-1 og postgresql-9.1 9.1~rc1-1.

Opdateringerne indeholder også pålidelighedsforbedringer, oprindelig planlagt til at blive medtaget i den næste punktopdatering; for detaljerede oplysninger se de respektive changelogs.

Vi anbefaler at du opgraderer dine postgresql-pakker.