--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 165-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
12 de Setembro de 2002 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Pacote : postgresql
Vulnerabilidade : buffer overflows
Tipo de Problema : remoto
Específico ao Debian : não
Id CVE : CAN-2002-0972
Mordred Labs e outros, encontraram várias vulnerabilidades no PostgreSQL,
uma base de dados SQL relacional orientada a objetos. Elas são herdadas
de diversos buffer overflows e overflows de inteiros. Entradas
especialmente forjadas de data e hora, moeda, dados repetidos e nomes de
timezone longos podem levar o servidor PostgreSQL a cair, bem como entrada
especialmente forjada de data para lpad() e rpad(). Mais buffer/inteiro
overflows foram encontrados no circle_poly(), path_encode() e path_addr().
Exceto pelos três últimos, esses problemas estão corrigidos na versão
upstream 7.2.2 do PostgreSQL, sendo esta a versão recomendada para o uso.
A maior parte destes problemas não existem na versão do PostgreSQL que
o Debian tem na distribuição potato pois as funcionalidades acima
discutidas não estão implementadas. Entretanto, o PostgreSQL 6.5.2
é muito antigo e pode trazer mais risco além daqueles que conhecemos,
que podem incluir mais buffer overflows, e certamente tem bugs que
ameaçam a integridade dos seus dados.
Você foi altamente avisado para não usar essa distribuição, mas sim
fazer o upgrade do sistema para o Debian 3.0 (estável) que inclui o
PostgreSQL 7.2.1 onde muitos bugs foram corrigidos e novas características
foram introduzidas para incrementar a compatibilidade com os padrões SQL.
Se você considera fazer o upgrade, por favor tenha certeza de que fez um
dump de todas as suas bases de dados usando o utilitário pg_dumpall, leve
em consideração que o novo PostgreSQL é mais estrito em sua manipulação
de entrada. Isso significa que linhas teste "foo - NULL" que são inválidas
não seram mais aceitas. Isso também significa que UNICODE, ISO 8859-1 e
ISO 8859-15 não são válidos para inserir dados dentro da relação. Neste
caso você devera converter o dump em questão usando latin1..utf-16.
Estes problemas foram corrigidos na versão 7.2.1-2woody2 para a
distribuição estável atual (woody) e na versão 7.2.2-2 para a distribuição
instável (sid). A antiga distribuição estável (potato) é parcialmente
afetada e nós enviamos uma versão corrigida 6.5.3-27.1 para ela.
Nós recomendamos que você faça o upgrade de seus pacotes PostgreSQL.
--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista
debian-security-announce@lists.debian.org. Caso queira receber os
alertas em inglês e minutos depois de sua publicação, inscreva-se na
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
*******************************************************************
.''`. Debian Weekly News: <http://www.debian.org/News/weekly>
: :' : Debian BR.........: <http://debian-br.cipsga.org.br>
`. `'` Equipe de Imprensa e Traduções do Debian-BR
`- O que você quer saber hoje?
*******************************************************************
Se você tiver notícias interessantes para serem publicadas,
envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpk9oRrFx0ys.pgp
Description: PGP signature