[Debian] Schwachstelle in Postgresql-8.3, Postgresql-8.4, Postgresql-9.0 – DSA-2340-1

[Debian] Schwachstelle in Postgresql-8.3, Postgresql-8.4, Postgresql-9.0 - DSA-2340-1

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-2483 – Schwachstelle in der crypt_blowfish() Funktion

Ein Vorzeichenfehler in der crypt_blowfish() Funktion zur Berechnung von
Passwort-Hashes fuehrt dazu, dass bei bestimmten 8-Bit Zeichen im
Passwort, 1-3 Zeichen vor diesem Zeichen in der Berechnung des Passwort
Hashes nicht beruecksichtigt werden. Dies macht Passwort Hashes, die mit
dem Blowfish Algorithmus berechnet wurden, erheblich leichter zu raten,
da sich die effektive Passwortlaenge verkuerzt. Die Blowfish
Hash-Methode ist der Standard zur Speicherung von Passworten unter SuSE
Linux. Sie wird ebenfalls vom Passwort Auditing Programm “John the
Ripper”, dem PostgreSQL Modul pgcrypt sowie von PHP benutzt.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket postgresql-8.3, postgresql-8.4, postgresql-9.0 in Debian
GNU/Linux 5.0 (lenny) vor Version 8.3.16-0lenny1
Paket postgresql-8.3, postgresql-8.4, postgresql-9.0 in Debian
GNU/Linux 6.0 (squeeze) vor Version 8.4.9-0squeeze1
Paket postgresql-8.3, postgresql-8.4, postgresql-9.0 in Debian
GNU/Linux 7.0 (wheezy) vor Version 8.4.9-1,
Paket postgresql-8.3, postgresql-8.4, postgresql-9.0 in Debian
GNU/Linux unstable (sid) vor Version 8.4.9-1,

Debian GNU/Linux 5.0 (lenny)
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2340-1 security@debian.org
http://www.debian.org/security/ Thijs Kinkhorst
November 7, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : postgresql-8.3, postgresql-8.4, postgresql-9.0
Vulnerability : weak password hashing
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-2483
Debian Bug : 631285

magnum discovered that the blowfish password hashing used amongst
others in PostgreSQL contained a weakness that would give passwords
with 8 bit characters the same hash as weaker equivalents.

For the oldstable distribution (lenny), this problem has been fixed in
postgresql-8.3 version 8.3.16-0lenny1.

For the stable distribution (squeeze), this problem has been fixed in
postgresql-8.4 version 8.4.9-0squeeze1.

For the testing distribution (wheezy) and unstable distribution (sid),
this problem has been fixed in postgresql-8.4 version 8.4.9-1,
postgresql-9.0 9.0.5-1 and postgresql-9.1 9.1~rc1-1.

The updates also include reliability improvements, originally scheduled
for inclusion into the next point release; for details see the respective
changelogs.

We recommend that you upgrade your postgresql packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.10 (GNU/Linux)

iQEcBAEBAgAGBQJOuDYOAAoJEOxfUAG2iX57DZgH/0c0P9FnbU6qMrsixC612FgA
A0V76Qcl/jboFzi8QOlj7fesaJ2bMtxCCY7aRTl9C3vW1j0BK5gKbZMsyJvVXic7
/AXCwpeib+inOqnl/HvSrTYJMOb2i0Hi24Tfx5M5Rhsl465oY7eaF6fW5Fyw9Nd/
kKCg+5BFIqoMmVWh+wTl2Jr62INwwcQz6SiTfPo0aNCcuKqbWRBwdJP0KbdcpxK8
8igs+hdETwWja0B0EzH3n6eJYY06vzN3zP2WqufQm8jDVa4f2PMHDNUvt3ENLglv
ja7i7tII3nJvGw7ui+8LXva1BBDUHqEVnLmxlbPZzTfe/tJdegltQNpFKe4Mchc=
=PClG
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOuPiEAAoJEJtyb8U7iGZBSl4H/R6okH2QNUfN5kfzNV93vkJX
ejMjSpu61MZumHeDFJYwpyoT3+r0mf0a/mnsvhSH6YIjGXLyw21Fy8J+X39wfCZY
uVA29CWHwERuKdtjIQ9DwkE4WTuaqwiHuZp1axbbXFSEqsVJTAudyjH6F1Vq/1DQ
h0OheUl9diDXTAyPLqI5pJ+MG6HutHeJjn2Ana4D2AILth/jXcfDIIZVV++939Ly
n1w2IbYRHmmINWC/4vDN62na+ch04QatSoKcfZ++QAwjWaC8Hkl0Cit4IEFN8sLT
fPgBTs9Cmrb+U9gnBb6nOBjk01XsZyamZHJxtRQYe6U5cCxDCxc0Xp7EWWMJPNI=
=mL3l
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben