Mise à jour mineures de PostgreSQL : 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 et 7.4.30

Le projet PostgreSQL annonce aujourd'hui la disponibilité de nouvelles mises à jour de sécurité pour toutes les branches actives du SGBD PostgreSQL. Ces mises à jour corrigent une faille de sécurité permettant l'obtention de droits non autorisés par la modification de fonctions des langages procéduraux de confiance, ainsi que de nombreuses corrections mineures au niveau de l'uptime, de l'intégrité des données et du traitement des erreurs. C'est aussi la mise à jour finale pour les versions 7.4 et 8.0, les utilisateurs de ces versions doivent planifier une mise à jour très rapidement car ces versions ne sont plus supportées.

Les utilisateurs des langages procéduraux PL/perl, PL/tcl et de fonctions SECURITY DEFINER doivent mettre à jour immédiatement leurs installations, sinon il est recommandé une mise à jour urgente de la version de PostgreSQL lors de son prochain arrêt de production.

Les versions mineures 7.4.30 et 8.0.26 sont les versions finales de PostgreSQL 7.4 et 8.0, ces deux versions ne sont plus supportées. La communauté PostgreSQL arrête la sortie de mises à jour pour la version 8.1 plus tard cette année. Les utilisateurs de ces versions sont encouragés à mettre à jour leur installation dans une version plus récente le plus tôt possible.

La faille de sécurité permet à tout utilisateur SQL ayant des droits d'utilisation de langages proceduraux de modifier le contenu des fonctions de ces langages lors de leur exécution. Comme détaillé dans le rapport CVE-2010-3433, un utilisateur authentifié peut réaliser une escalade de privilèges en détournant le SECURITY DEFINER d'une fonction. La seule présence des langages procéduraux ne signifie pas que votre application soit vulnérable.

PL/Perl et PL/tcl sont corrigés dans cette version; un patch pour PL/PHP est en cours. Tout langage procédural d'une tierce partie avec une version de confiance est aussi vulnérable à cette faille. Voir la note de sécurité CVE-2010-3433 pour plus d'information (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3433).

130 autres bugs ont été corrigés dans les différentes versions mineures livrées aujourd'hui, certains ne s'appliquent qu'à la version 8.4, et quelques-uns seulement à la version 9.0. Il y a aussi de nombreuse mises à jour de la documentation interne. Voir les notes de parution pour une liste détaillée des changements: http://docs.postgresql.fr/9.0/release.html (en anglais).

Comme pour les autres versions mineures, les utilisateurs ne doivent pas nécessairement sauvegarder puis recharger leur base de données pour mettre à jour. Arrêtez PostgreSQL, mettez à jour les binaires et relancez PostgreSQL.

Pour les clients de Dalibo sous contrat de Support PostgreSQL Premium, bénéficiant ainsi des mises à jour effectuées par notre service de support, nous profitons de cette annonce pour vous informer que nous procèderons sous peu à la création de tickets d'intervention visant à mettre à jour vos serveurs. Nous vous invitons à nous faire part de vos contraintes quant à l'arrêt nécessaire du serveur PostgreSQL pour l'application de cette mise à jour dans ce(s) ticket(s) d'intervention.

Afficher le texte source