-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 165-1 security@debian.org http://www.debian.org/security/ Martin Schulze 12 de Setembro de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : postgresql Vulnerabilidade : buffer overflows Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2002-0972 Mordred Labs e outros, encontraram várias vulnerabilidades no PostgreSQL, uma base de dados SQL relacional orientada a objetos. Elas são herdadas de diversos buffer overflows e overflows de inteiros. Entradas especialmente forjadas de data e hora, moeda, dados repetidos e nomes de timezone longos podem levar o servidor PostgreSQL a cair, bem como entrada especialmente forjada de data para lpad() e rpad(). Mais buffer/inteiro overflows foram encontrados no circle_poly(), path_encode() e path_addr(). Exceto pelos três últimos, esses problemas estão corrigidos na versão upstream 7.2.2 do PostgreSQL, sendo esta a versão recomendada para o uso. A maior parte destes problemas não existem na versão do PostgreSQL que o Debian tem na distribuição potato pois as funcionalidades acima discutidas não estão implementadas. Entretanto, o PostgreSQL 6.5.2 é muito antigo e pode trazer mais risco além daqueles que conhecemos, que podem incluir mais buffer overflows, e certamente tem bugs que ameaçam a integridade dos seus dados. Você foi altamente avisado para não usar essa distribuição, mas sim fazer o upgrade do sistema para o Debian 3.0 (estável) que inclui o PostgreSQL 7.2.1 onde muitos bugs foram corrigidos e novas características foram introduzidas para incrementar a compatibilidade com os padrões SQL. Se você considera fazer o upgrade, por favor tenha certeza de que fez um dump de todas as suas bases de dados usando o utilitário pg_dumpall, leve em consideração que o novo PostgreSQL é mais estrito em sua manipulação de entrada. Isso significa que linhas teste "foo - NULL" que são inválidas não seram mais aceitas. Isso também significa que UNICODE, ISO 8859-1 e ISO 8859-15 não são válidos para inserir dados dentro da relação. Neste caso você devera converter o dump em questão usando latin1..utf-16. Estes problemas foram corrigidos na versão 7.2.1-2woody2 para a distribuição estável atual (woody) e na versão 7.2.2-2 para a distribuição instável (sid). A antiga distribuição estável (potato) é parcialmente afetada e nós enviamos uma versão corrigida 6.5.3-27.1 para ela. Nós recomendamos que você faça o upgrade de seus pacotes PostgreSQL. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- Henrique Pedroni Neto - kirkham <henrique@ital.org.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debian-br.cipsga.org.br> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje? ******************************************************************* Se você tiver notícias interessantes para serem publicadas, envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpk9oRrFx0ys.pgp
Description: PGP signature