Sécurité | Révisions de sécurité (Mise à jour)

Par SAS le 07/02/2007 - 22:05

Le PostgreSQL Global Development Group a publié aujourd'hui une mise à jour de sécurité pour les versions antérieures de PostgreSQL : les révisions 8.0.11, 7.4.16 et 7.3.18. Ces correctifs concernent des trous de sécurité de risque moyen. Il est donc fortement conseillé d'effectuer une mise à jour rapidement.

Les révisions pour les versions 8.1 et 8.2 sont toujours en attente. Les sources publiés pour les révisions 8.2.2 et 8.1.7 ont été retirées à cause d'un bogue concernant les types de données typemod utilisés avec des contraintes de vérification ou des index d'expression. Les nouvelles révisions devraient être publiées sous 24 à 48 heures.

Cette révision corrige CVE-2007-0555 et CVE-2007-0556. Ces deux failles autorisent un utilisateur authentifié disposant des permissions d'exécuter du code SQL à lancer une attaque de type "déni de service" ou de lire des portions aléatoires de la mémoire. Puisqu'il est nécessaire d'être authentifié, ce risque n'est jugé que moyen. Plus d'informations sur Mitre :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0555
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0556

Conformément à la politique de correction des failles de sécurité du projet, cette mise à jour a été réalisée aussi vite que possible : moins de deux semaines après le premier rapport de bogue, et cinq jours après la publication du correctif. Ces réponses rapides sont inhérentes à la réputation de PostgreSQL d'être une des bases industrielles les plus sûres.

Ces révisions peuvent être téléchargées depuis notre page de téléchargement :
http://www.postgresql.org/download/. Aucun besoin d'export/import pour cette mise à jour. Quoiqu'il en soit, n'hésitez pas à consulter les notes de version pour la vôtre :
http://www.postgresql.org/docs/8.2/static/release.html.