パスワードの0x80とか、NULL文字か・・・

PostgreSQL Global Development Groupより、脆弱性およびバグを修正したPostgreSQLが公開された。PostgreSQLはBSDスタイルのライセンスを採用し、オープンソースのもと開発されているオブジェクトリレーショナルデータベース管理システム。公開されたバージョンは「9.1.4」「9.0.8」「8.4.12」「8.3.19」。
リリースされた各バージョンは共通して以下の2つの脆弱性に対処している。
CVE-2012-2143 - contribおよびpgcryptoモジュール内のcrypt()関数のパスワード変換に誤りが生じる問題
CVE-2012-2655 - SECURITY DEFINERおよびSET属性をコールハンドラに適用した時にクラッシュする問題
pgcryptoモジュール内にあるcrypt()関数にパスワード変換を謝る脆弱性が見つかっており、この脆弱性を突かれてパスワードを短くされる可能性があるという。この脆弱性の影響を受けたパスワードは0x80のバイト値がパスワードに含まれるとし、このバイト値が入ったパスワードがある場合はアップデートするだけでなく、パスワードを再生成する必要があるとしている。

PostgreSQLが脆弱性に対処 | マイナビニュース