Publicité
+ Répondre à la discussion Actualité déjà publiée
Affichage des résultats 1 à 2 sur 2
  1. #1
    Responsable Livres

    Avatar de MaitrePylos
    Homme Profil pro Gérard Ernaelsten
    DBA & Dev PHP
    Inscrit en
    juin 2005
    Messages
    3 806
    Détails du profil
    Informations personnelles :
    Nom : Homme Gérard Ernaelsten
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : DBA & Dev PHP
    Secteur : Service public

    Informations forums :
    Inscription : juin 2005
    Messages : 3 806
    Points : 8 120
    Points
    8 120

    Par défaut Sortie de version mineure de PostgreSQL

    Mise à jour de sécurité : 27/02/2012

    Le PostgreSQL Global Development Group a publié aujourd'hui des mises à jours de sécurité pour toutes les branches actives du SGBDR PostgreSQL. Ces mises-à-jour incluent les versions 9.1.3, 9.0.7, 8.4.11 et 8.3.18.

    Il est nécessaires aux utilisateurs de pg_dump, de certificat SSL de validation, de déclencheurs utilisant SECURITY DEFINER de migrer immédiatement. Il est recommandé aux DBA de mettre à jour les versions de PostgreSQL utilisées dès la prochaine maintenance programmée. Les détails des correctifs de sécurité sont donnés ci-après.

    Les fonctionnalités concernées par ces correctifs incluent : la réplication binaire et le Hot Standby, GIN, WITH, les enveloppes de données externes (Foreign Data Wrappers), PL/pgsql, PL/python, le type de données inet, intarray, pgcrypto, pg_upgrade, pg_restore et pg_dump. Il est préconisé aux utilisateurs de ces fonctionnalités d'appliquer les mises-à-jours le plus rapidement possible.

    Cette version intègre 45 correctifs pour la version 9.1 et un nombre inférieur pour les versions plus anciennes, soit :

    - un correctif de corruption d'index btree lors d'insertions concurrentes à un vacuum ;
    - récupérer d'erreurs survenant lors de la répétition d'un DROP TABLESPACE depuis un WAL ;
    - correction de la mise à zéro de tampons partagés lors de la répétition de WAL ;
    - correction de la tentative du postmaster de redémarrer après un crash du hot-standby ;
    - correction des cas aux limites du nettoyage des transactions SSI ;
    - mise-à-jour des permissions de niveau colonne, pas uniquement celles de niveau table, lors du changement de propriétaire ;
    - correction de la gestion de sous-plans WITH modifiant des données lors de la revérification READ COMMITTED ;
    - correction des erreurs "could not find plan for CTE" (n'a pu trouvé de plan pour la CTE) ;
    - correction des erreurs de type non-supportées causées par un COLLATE dans une expression INSERT ;
    - éviter un crash lorsque des problèmes sont rencontrés pour supprimer les fichiers de table après commit ;
    - correction de la fuite mémoire récemment introduite lors du traitement de inet/cidr ;
    - correction de l'estimation de coût GIN pour gérer les condtions d'index des colonnes IN(...) ;
    - correction des fuites mémoires liées aux conversions I/O en plpgsql ;
    - apprendre à pg_upgrade à gérer le renommage des bibliothèques partagées plpython (affecte les mises à jours vers 9.1) ;

    Comme pour toute version mineure, il n'est pas nécessaire d'exporter et réimporter les bases ou d'utiliser pg_upgrade pour appliquer cette mise-à-jour. Il suffit d'arrêter PostgreSQL et de mettre à jour les binaires. Les étapes post-update s'effectuent après redémarrage de la base.

    Cette mise-à-jour inclut 3 correctifs de sécurité :

    http://cve.mitre.org/cgi-bin/cvename...=CVE-2012-0866 CVE-2012-0866 : Les permissions sur la fonction appelée par un déclencheur ne sont pas vérifiées.

    Ce correctif interdit aux utilisateurs de définir des déclencheurs qui exécutent des fonctions pour lesquelles l'utilisateur n'a pas la permission EXECUTE.

    CREATE TRIGGER échoue à vérifier les permissions sur la fonction à appeler. Un utilisateur sans privilège peut attacher une fonction déclencheur à une table qu'il possède et lui faire accéder les données qu'il souhaite. Normalement, cela s'exécute avec les permissions du propriétaire de la table, et de ce fait sans possibilité additionnel. Toutefois, si la fonction déclencheur est marquée SECURITY DEFINER, l'escalade de privilèges est possible.

    http://cve.mitre.org/cgi-bin/cvename...=CVE-2012-0867 CVE-2012-0867 : Les vérifications de nom de certificat SSL sont tronquées à 32 caractères, permettant l'usurpation de connexion dans certaines circonstances.

    Cela corrige la coupure de nom usuelle du SSL, qui peut permettre le piratage d'une connexion SSL dans certaines conditions.

    Lors de l'utilisation de certificats SSL, le client et le serveur peuvent être configurés pour vérifier le nom d'hôte adverse à partir du nom commun dans le certificat présenté. Toutefois, le nom extrait du certificat était incorrectement tronqué à 32 caractères. Normalement, cela conduit à une erreur de vérification, mais si le nom de la machine contient exactement 32 caractères, il peut, en principe, être usurpé. Le risque que cela arrive réellement est très faible, et un attaquant devra encore exécuter des opérations en dehors de PostgreSQL pour réussir un tel exploit.

    http://cve.mitre.org/cgi-bin/cvename...=CVE-2012-0868 CVE-2012-0868 : Les sauts de ligne dans les noms d'objet peuvent être exploités pour exécuter du code lors du chargement d'un fichier pg_dump.

    Ce correctif supprime les '\n' et '\r' des commentaires d'un fichier d'export.

    pg_dump copiait les noms des objets dans des commentaires au sein du script SQL sans les assainir. Un nom d'objet qui contient un saut de ligne suivi d'une commande SQL peut résulter en un script dans lequel la commande SQL est exposée à l'exécution. Lorsque (et si) le script est rechargé, la commande est exécutée avec les privilèges de celui qui exécute le script - souvent un superutilisateur.

    Télécharger les nouvelles versions :

    Téléchargement
    Code source
    Paquets binaires
    One-click installer, et paquets Windows

  2. #2
    ced
    ced est déconnecté
    Rédacteur/Modérateur

    Avatar de ced
    Homme Profil pro Cédric Duprez
    Gestion de bases de données techniques
    Inscrit en
    avril 2002
    Messages
    5 064
    Détails du profil
    Informations personnelles :
    Nom : Homme Cédric Duprez
    Âge : 39
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : Gestion de bases de données techniques
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : avril 2002
    Messages : 5 064
    Points : 16 429
    Points
    16 429

    Par défaut

    Bonjour,

    A noter conjointement la sortie d'une version mineur de PgAdmin (version 1.14.3), corrigeant 3 bugs :
    2012-02-29 GL 1.14.3 Fix setting the connection for pgScript, per report
    2012-02-28 GL 1.14.3 Extensions have no owner.
    2012-02-28 GL 1.14.3 Fix the handling of empty strings in the histoqueries file.
    Rédacteur / Modérateur SGBD et R
    Mes tutoriels et la FAQ MySQL

    ----------------------------------------------------
    Pensez aux balises code et au tag
    Une réponse vous a plu ? N'hésitez pas à y mettre un
    Je ne réponds pas aux questions techniques par message privé, les forums sont là pour ça

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •