Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0

Säkerhetsbulletin från Debian

DSA-2340-1 postgresql-8.3, postgresql-8.4, postgresql-9.0 -- svag lösenordshashning

Rapporterat den:

2011-11-07

Berörda paket:

postgresql-8.3
postgresql-8.4
postgresql-9.0

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 631285.
I Mitres CVE-förteckning: CVE-2011-2483.

Ytterligare information:

magnum upptäckte att blowfish-lösenordshashningen som används bland annat i PostgreSQL innehöll en svaghet som kunde ge lösenord med 8-bitars tecken samma hash som svagare motsvarighet.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i postgresql-8.3 version 8.3.16-0lenny1.

För den stabila utgåvan (Squeeze) har detta problem rättats i postgresql-8.4 version 8.4.9-0squeeze1.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har detta problem rättats i postgresql-8.4 version 8.4.9-1, postgresql-9.0 9.0.5-1 och postgresql-9.1 9.1~rc1-1.

Uppdateringarna inkluderar även förbättring av pålitlighet, som ursprungligen schemalagts för inkludering i nästa punktutgåva; för ytterligare detaljer se respektive ändringslogg.

Vi rekommenderar att ni uppgraderar era postgresql-paket.