Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2491-1 postgresql-8.4

Säkerhetsbulletin från Debian

DSA-2491-1 postgresql-8.4 -- flera sårbarheter

Rapporterat den:

2012-06-09

Berörda paket:

postgresql-8.4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-2143, CVE-2012-2655.

Ytterligare information:

Två sårbarheter upptäcktes i PostgreSQL, en SQL-databasserver.

• CVE-2012-2143

  Funktionen crypt(text, text) i contrib-modulen pgcrypto hanterar inte vissa lösenord korrekt vid produktion av traditionella DES-baserade hasher. Tecken efter den första 0x80-byten ignorerades.

• CVE-2012-2655

  SECURITY DEFINER och SET-attribut för en anropshanterare i ett procedurellt språk kunde krascha databasservern.

Utöver detta så innehåller denna uppdatering pålitlighets- och stabilitetsrättningar från uppströmsutgåvan 8.4.12.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 8.4.12-0squeeze1.

För den instabila utgåvan (Sid) har detta problem rättats i version 8.4.12-1.

Vi rekommenderar att ni uppgraderar era postgresql-8.4-paket.