Информация по безопасности / 2013 / Информация о безопасности -- DSA-2657-1 postgresql-8.4

Рекомендация Debian по безопасности

DSA-2657-1 postgresql-8.4 -- случайные числа, которые можно укадать

Дата сообщения:

04.04.2013

Затронутые пакеты:

postgresql-8.4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-1900.

Более подробная информация:

Уязвимость была обнаружена в сервере баз данных PostgreSQL. Случайные числа, генерируемые функциями contrib/pgcrypto, легко могут быть угаданы другим пользователем базы данных.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 8.4.17-0squeeze1.

В тестируемом (wheezy) и нестабильном (sid) выпусках пакеты postgresql-8.4 были удалены; в этих выпусках данная проблема была исправлена в postgresql-9.1 9.1.9-0wheezy1 (wheezy) и 9.1.9-1 (sid) соответственно.

Внимание: postgresql-8.4 в Squeeze не подвержен CVE-2013-1899 (повреждение файлов базы данных) и CVE-2013-1901 (непривилегированный пользователь может мешать работающему процессу резервного копирования).

Рекомендуется обновить пакеты postgresql-8.4.