Mises à jour mineures de PostgreSQL : 9.1.4, 9.0.8, 8.4.12, 8.3.19

Le projet PostgreSQL sort aujourd'hui des mises à jour de sécurité pour toutes les branches actives du SGBD PostgreSQL. Ces mises à jour correspondent aux versions 9.1.4, 9.0.8, 8.4.12, 8.3.19.

Les utilisateurs de la fonction crypt(text, text) avec le chiffrement DES du module optionnel pg_crypto doivent mettre à jour leur installation immédiatement. Il est conseillé à tous les autres administrateurs de bases de données de mettre à jour leur version de PostgreSQL lors de leur prochain arrêt de maintenance. Vous trouverez plus de détails sur les corrections de failles de sécurité ci-dessous.

Cette mise à jour contient 42 correctifs pour la version 9.1. Les versions plus anciennes ont moins de correctifs. Parmi les correctifs :

  • Correction du script de mise à jour de l'extension citext pour les collationnements sur des tableaux de données de type citext et sur des domaines utilisant citext comme type de base
  • Correction de la gestion des fuseaux horaires
  • Correction du type text ou du type char pour nommer les conversions réalisant des tronquage de chaînes de caractères ayant des encodages multi-octets
  • Correction d'un bug de copie mémoire dans to_tsquery()
  • S'assure que txid_current() rapporte le bon epoch quand cette fonction est exécutée sur un esclave dans le mode hot standby
  • Correction de la façon dont le planificateur gère les sous-SELECT référençant des variables provenant du côté potentiellement NULL d'une jointure externe de la requête englobante
  • Correction de la planification des sous-requêtes unies avec UNION ALL dont les colonnes en sortie ne sont pas de simples variables
  • Correction de la lenteur de démarrage des sessions lorsque le catalogue système pg_attribute est très volumineux
  • S'assure que les parcours séquentiels vérifient suffisamment fréquemment les demandes d'annulation de requêtes
  • Show whole-row variables safely when printing views or rules
  • Correction de COPY FROM pour qu'il gère proprement les chaînes de marqueur null qui correspondent à un encodage invalide
  • Correction d'EXPLAIN VERBOSE pour les requêtes CTE en écriture contenant des clauses RETURNING
  • Correction de PREPARE TRANSACTION pour qu'il fonctionne correctement, même en présence de verrous informatifs
  • Corrections de bugs avec des tables temporaires utilisées dans les scripts d'installation des extensions
  • S'assure que les processus « autovacuum worker » réalisent une vérification de la profondeur de la pile
  • Correction du collecteur de traces pour ne pas perdre la cohérence des traces sous forte charge
  • Correction du collecteur de traces pour s'assurer qu'il va relancer la rotation des fichiers à réception du signal SIGHUP
  • Correction de la logique de rejeu des journaux de transactions pour que les index GIN ne posent pas de problème si ces index sont supprimés par la suite
  • Ignorer le délai de la réplication synchrone lors de la validation d'une transaction qui a seulement modifié des tables temporaires

Comme pour les autres versions mineures, il n'est pas nécessaire de sauvegarder et recharger les bases de données. Il n'est pas utile non plus d'utiliser pg_upgrade. Pour appliquer cette mise à jour, arrêtez PostgreSQL, mettez à jour les exécutables et redémarrez PostgreSQL. Puis réalisez les étapes post-mise-à-jour une fois le serveur redémarré. Si vous utilisez le type de données citext et que vous avez migré à partir d'une ancienne version majeure en utilisant pg_upgrade, merci de lire les notes de version pour la 9.1.4 pour effectuer quelques étapes supplémentaires importantes.

Cette mise à jour inclut deux corrections de sécurité pour les failles suivantes :

  • CVE-2012-2143: Fix incorrect password transformation in contrib/pgcrypto’s DES crypt() function

Cette vulnérabilité affecte les utilisateurs de PostgreSQL qui utilise la fonction crypt(text, text) (dans le module pg_crypto) avec le chiffrement DES et des mots de passe non-ASCII. Les mots de passe affectés sont ceux qui contiennent la valeur 0x80. Les caractères après cet octet sont ignorés, rendant le mot de passe réel plus petit et donc plus facile à découvrir. Après la mise à jour, tous les mots de passe contenant cet octet doivent être regénérés.

  • CVE-2012-2655: Ignore SECURITY DEFINER and SET attributes for a procedural language’s call handler

Appliquer ces attributs au gestionnaire d'appels du langage pouvait causer un crash du serveur.

Toutes les versions supportées de PostgreSQL sont affectées. Les notes de version de chaque branche contiennent une liste complète des modifications avec de nombreux détails.

Pour les clients de Dalibo sous contrat Support PostgreSQL Premium, bénéficiant ainsi des mises à jour effectuées par notre service de support, nous profitons de cette annonce pour vous informer que nous avons procédé à la création de tickets d'intervention visant à mettre à jour vos serveurs. Nous vous invitons à nous faire part de vos contraintes quant à l'arrêt nécessaire du serveur PostgreSQL pour l'application de cette mise à jour dans ce(s) ticket(s) d'intervention.

Téléchargez les nouvelles versions maintenant sur :

Afficher le texte source