Scientific Linux 安全更新：SL5.x i386/x86_64 中的 postgresql84

medium Nessus 插件 ID 61154

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

PostgreSQL 是高级对象关系数据库管理系统 (DBMS)。

在使用 Blowfish 哈希的情况下，发现在 PostgreSQL pgcrypto 模块中的 crypt() 函数处理密码内的 8 位字符的方式中存在符号问题。非 ASCII 字符前最多三个字符（更高位数的字符集则为一个字符）对哈希结果没有影响，因此导致有效密码长度变短。这使得暴力猜测密码的效率更高，因为多个不同密码都通过哈希算法转换成相同的值。(CVE-2011-2483)

注意：由于 CVE-2011-2483 补丁，在安装此更新后，对于那些在后端 PostgreSQL 数据库中存储用户密码，并通过使用 PostgreSQL crypt() 函数的 Blowfish 来对密码进行哈希处理的应用程序而言，某些用户可能无法登录。可通过将哈希前缀更改为“$2x$”，为特定密码重新启用不安全的处理方式（允许受影响的用户登录）。

这些更新后的 postgresql84 程序包用于将 PostgreSQL 升级到 8.4.9 版。有关完整变更列表，请参阅《PostgreSQL 发行说明》：

http://www.postgresql.org/docs/8.4/static/release.html

建议所有 PostgreSQL 用户升级这些更新后的程序包，其中修正了此问题。如果 postgresql 服务正在运行，它将在安装此更新后自动重新启动。