blob: 6afc6caf6d8767202bd9b618ec995776c7771b32 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
|
#use wml::debian::translation-check translation="a087948ecd4b3d7de2a1c29ef95becc2f44d4097" maintainer="Giuseppe Sacco"
<define-tag description>overflow di un buffer</define-tag>
<define-tag moreinfo>
<p>Mordred Labs e altri hanno trovato varie vulnerabilità
in PostgreSQL, un database SQL relazionale ad oggetti. Questi problemi
sono in genere dovuti a overflow di un buffer o di interi.
Alcune date scritte in maniera particolare, così come alcuni dati di tipo
time, currency, dati ripetuti e nomi di timezone possono portare il server
PostgreSQL in crash, così come lo possono fare alcuni input per
le funzioni lpad() e rpad(). Altri overflow di buffer sono stati
trovati in circle_poly(), path_encode() e path_addr().</p>
<p>Ad eccezione degli ultimi tre, questi problemi sono stati risolti nella
versione 7.2.2 di PostgreSQL che è la versione che raccomandiamo di usare.</p>
<p>La maggior parte di questi problemi non esistevano nella versione
utilizzata per il rilascio di potato poiché le corrispondenti funzionalità
non erano state ancora implementate. In ogni caso PostgreSQL 6.5.3 è
piuttosto vecchio e potrebbe nascondere altri rischi dei quali non siamo
al corrente, che possono anche essere analoghi a questi overflow e
certamente potrebbero includere bug che possono compromettere l'integrità
dei dati.</p>
<p>Si è quindi fortemente invitati a non utilizzare questa versione, ma ad
aggiornare il sistema a Debian 3.0 (stable) incluso PostgreSQL 7.2.1, dove
molti bug sono stati risolti e altre nuove funzionalità introdotte per
migliorare la compatibilità con gli standard SQL.</p>
<p>Se si considera un aggiornamento, si faccia particolare attenzione a fare
il dump completo del sistema utilizzando lo strumento pg_dumpall.
Si prenda anche in considerazione il fatto che la nuova versione di PostgreSQL
ha un controllo dei tipi più stretto. Vale a dire che alcuni test come
"pippo = NULL" che non sono più validi non verranno accettati. Questo vuole
anche dire che utilizzando la codifica UNICODE, ISO 8859-1 e ISO 8859-15 non
sono più codifiche valide per inserire dati all'interno di relazioni. In questi
casi di consiglia di convertire i dump in questione utilizzando
<kbd>recode latin1..utf-16</kbd>.</p>
<p>Questi problemi sono stati risolti nella versione 7.2.1-2woody2 per la
attuale distribuzione stable (woody) e nella versione 7.2.2-2 per la
distribuzione unstable (sid). La vecchia distribuzione stable (potato)
è parzialmente affetta dal problema e corretta con la versione 6.5.3-27.2.</p>
<p>Si raccomanda di aggiornare i propri pacchetti PostgreSQL.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-165.data"
# $Id$
|
