Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2491-1 postgresql-8.4

Bulletin d'alerte Debian

DSA-2491-1 postgresql-8.4 -- Plusieurs vulnérabilités

Date du rapport :

9 juin 2012

Paquets concernés :

postgresql-8.4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-2143, CVE-2012-2655.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans PostgreSQL, un serveur de bases de données SQL.

• CVE-2012-2143

  La fonction crypt(text, text) du module contrib pgcrypto ne traitait pas certains mots de passe correctement lors de la production de hachages traditionnels de type DES. Les caractères suivant le premier octet 0x80 étaient ignorés.

• CVE-2012-2655

  Les attributs SECURITY DEFINER et SET pour un assistant d'appel de langage procédural pourraient planter le serveur de bases de données.

De plus, cette mise à jour contient des corrections de fiabilité et stabilité de la version 8.4.12 amont.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 8.4.12-0squeeze1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 8.4.12-1.

Nous vous recommandons de mettre à jour vos paquets postgresql-8.4.