Bulletin d'alerte Debian
DSA-2657-1 postgresql-8.4 -- Nombres aléatoires devinables
- Date du rapport :
- 4 avril 2013
- Paquets concernés :
- postgresql-8.4
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-1900.
- Plus de précisions :
-
Une vulnérabilité a été découverte dans le serveur de bases de données PostgreSQL. Un autre utilisateur de base de données pourrait facilement deviner les nombres aléatoires générés par les fonctions contrib/pgcrypto.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 8.4.17-0squeeze1.
Pour les distributions testing (Wheezy) et unstable (Sid), les paquets postgresql-8.4 ont été supprimés. Dans ces distributions, ce problème a été corrigé dans la version 9.1.9-0wheezy1 de postgresql-9.1 pour Wheezy et 9.1.9-1 pour Sid.
Remarque : postgresql-8.4 dans Squeeze n’est pas concerné par CVE-2013-1899 (corruption de fichiers de base de données) ni CVE-2013-1901 (un utilisateur sans droit peut interférer avec des sauvegardes en cours).
Nous vous recommandons de mettre à jour vos paquets postgresql-8.4.