PostgreSQL La base de donnees la plus sophistiquee au monde.

Forums PostgreSQL.fr

Le forum officiel de la communauté francophone de PostgreSQL

Vous n'êtes pas identifié(e).

#1 05/06/2012 10:12:00

daamien
damien clochard

Nouvelles versions mineures de PostgreSQL : 9.1.4, 9.0.8, 8.4.12, 8.3

Le projet PostgreSQL sort aujourd'hui des mises à jour de sécurité pour
toutes les branches actives du SGBD PostgreSQL. Ces mises à jour
correspondent aux versions 9.1.4, 9.0.8, 8.4.12, 8.3.19.

Les utilisateurs de la fonction crypt(text, text) avec le chiffrement
DES du module optionnel pg_crypto doivent mettre à jour leur
installation immédiatement. Il est conseillé à tous les autres
administrateurs de bases de données de mettre à jour leur version de
PostgreSQL lors de leur prochain arrêt de maintenance. Vous trouverez
plus de détails sur les corrections de failles de sécurité ci-dessous.

Cette mise à jour contient 42 correctifs pour la version 9.1. Les
versions plus anciennes ont moins de correctifs. Parmi les correctifs :

  * Correction du script de mise à jour de l'extension citext pour les
    collationnements sur des tableaux de données de type citext et sur
    des domaines utilisant citext comme type de base
  * Correction de la gestion des fuseaux horaires
  * Correction du type text ou du type char pour nommer les conversions
    réalisant des tronquage de chaînes de caractères ayant des encodages
    multi-octets
  * Correction d'un bug de copie mémoire dans to_tsquery()
  * S'assure que txid_current() rapporte le bon epoch quand cette
    fonction est exécutée sur un esclave dans le mode hot standby
  * Correction de la façon dont le planificateur gère les sous-SELECT
    référençant des variables provenant du côté potentiellement NULL
    d'une jointure externe de la requête englobante
  * Correction de la planification des sous-requêtes unies avec UNION
    ALL dont les colonnes en sortie ne sont pas de simples variables
  * Correction de la lenteur de démarrage des sessions lorsque le
    catalogue système pg_attribute est très volumineux
  * S'assure que les parcours séquentiels vérifient suffisamment
    fréquemment les demandes d'annulation de requêtes
  * Show whole-row variables safely when printing views or rules
  * Correction de COPY FROM pour qu'il gère proprement les chaînes de
    marqueur null qui correspondent à un encodage invalide
  * Correction d'EXPLAIN VERBOSE pour les requêtes CTE en écriture
    contenant des clauses RETURNING
  * Correction de PREPARE TRANSACTION pour qu'il fonctionne
    correctement, même en présence de verrous informatifs
  * Corrections de bugs avec des tables temporaires utilisées dans les
    scripts d'installation des extensions
  * S'assure que les processus « autovacuum worker » réalisent une
    vérification de la profondeur de la pile
  * Correction du collecteur de traces pour ne pas perdre la cohérence
    des traces sous forte charge
  * Correction du collecteur de traces pour s'assurer qu'il va relancer
    la rotation des fichiers à réception du signal SIGHUP
  * Correction de la logique de rejeu des journaux de transactions pour
    que les index GIN ne posent pas de problème si ces index sont
    supprimés par la suite
  * Ignorer le délai de la réplication synchrone lors de la validation
    d'une transaction qui a seulement modifié des tables temporaires

Comme pour les autres versions mineures, il n'est pas nécessaire de
sauvegarder et recharger les bases de données. Il n'est pas utile non
plus d'utiliser pg_upgrade. Pour appliquer cette mise à jour, arrêtez
PostgreSQL, mettez à jour les exécutables et redémarrez PostgreSQL. Puis
réalisez les étapes post-mise-à-jour une fois le serveur redémarré. Si
vous utilisez le type de données citext et que vous avez migré à partir
d'une ancienne version majeure en utilisant pg_upgrade, merci de lire
les notes de version pour la 9.1.4 pour effectuer quelques étapes
supplémentaires importantes.

Cette mise à jour inclut deux corrections de sécurité pour les failles
suivantes :

  * CVE-2012-2143: Fix incorrect password transformation in
    contrib/pgcrypto’s DES crypt() function

Cette vulnérabilité affecte les utilisateurs de PostgreSQL qui utilise
la fonction crypt(text, text) (dans le module pg_crypto) avec le
chiffrement DES et des mots de passe non-ASCII. Les mots de passe
affectés sont ceux qui contiennent la valeur 0x80. Les caractères après
cet octet sont ignorés, rendant le mot de passe réel plus petit et donc
plus facile à découvrir. Après la mise à jour, tous les mots de passe
contenant cet octet doivent être regénérés.

  * CVE-2012-2655: Ignore SECURITY DEFINER and SET attributes for a
    procedural language’s call handler

Appliquer ces attributs au gestionnaire d'appels du langage pouvait
causer un crash du serveur.

Toutes les versions supportées de PostgreSQL sont affectées. Les notes
de version de chaque branche contiennent une liste complète des
modifications avec de nombreux détails.

Téléchargez les nouvelles versions maintenant sur :

  * http://www.postgresql.org/download/

  * Code source:
    http://www.postgresql.org/ftp/source/

  * Paquets binaires:
    http://www.postgresql.org/ftp/binary/

  * Installeur One-click (dont le paquet Windows):
    http://www.enterprisedb.com/products-se … pgdownload

Hors ligne

Pied de page des forums