セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2491-1 postgresql-8.4

Debian セキュリティ勧告

DSA-2491-1 postgresql-8.4 -- 複数の脆弱性

報告日時:

2012-06-09

影響を受けるパッケージ:

postgresql-8.4

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-2143, CVE-2012-2655.

詳細:

二つの欠陥が SQL データベースサーバ PostgreSQL に発見されました。

• CVE-2012-2143

  pgcrypto contrib モジュールの crypt(text, text) 関数が、従来の DES ベースのハッシュ生成時に一部のパスワードを正しく処理していません。 0x80 のバイト列が最初に現れてから後の文字が無視されます。

• CVE-2012-2655

  手続き型言語の call ハンドラの SECURITY DEFINER および SET アトリビュートにより、データベースサーバをクラッシュ可能です。

さらに、この更新には上流の 8.4.12 リリースでの信頼性と安定性に関する更新を含んでいます。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 8.4.12-0squeeze1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 8.4.12-1 で修正されています。

直ぐに postgresql-8.4 パッケージをアップグレードすることを勧めます。