Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2491-1 postgresql-8.4

Debians sikkerhedsbulletin

DSA-2491-1 postgresql-8.4 -- flere sårbarheder

Rapporteret den:

9. jun 2012

Berørte pakker:

postgresql-8.4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-2143, CVE-2012-2655.

Yderligere oplysninger:

To sårbarheder blev opdaget i PostgreSQL, en SQL-databaseserver:

• CVE-2012-2143

  Funktionen crypt(text, text) i contrib-modulet pgcrypto, håndterede ikke visse adgangskoder på korrekt vis, når der blev fremstillet traditionelle DES-baserede hashes. Tegn efter den første 0x80-byte blev ignoreret.

• CVE-2012-2655

  Attributterne SECURITY DEFINER og SET til en call-handler í et proceduralt sprog kunne få databaseserveren til at gå ned.

Desuden indeholder denne opdatering rettelser i forbindelse med driftssikkerhed og stabilitet fra opstrøms 8.4.12-udgave.

I den stabile distribution (squeeze), er dette problem rettet i version 8.4.12-0squeeze1.

I den ustabile distribution (sid), er dette problem rettet i version 8.4.12-1.

Vi anbefaler at du opgraderer dine postgresql-8.4-pakker.