PostgreSQLFr - Sécurité

Création de comptes

Thu, 12 Jun 2008 08:31:16 +0200

Confrontés à des problèmes de spams sur les forums, nous avons pris la décision de modérer toute demande de création de compte sur le site.

C'est pourquoi, lorsque vous créez un compte, vous recevez un mail vous demandant de confirmer l'ouverture de compte à "equipe at postgresql point fr".

Malheureusement, depuis quelques jours, cette adresse était en erreur. Aussi, certains d'entre vous ont dû créer des comptes et ne jamais pouvoir confirmer cette création.

Si tel est le cas, n'hésitez pas à retourner un courriel à cette adresse afin que nous puissions procéder à la validation de votre compte.

[ANNONCE] Communiqué de correctif de sécurité

Tue, 29 Jan 2008 22:55:25 +0100

Le 07 Janvier 2008

Aujourd'hui le « PostgreSQL Global Development Group » a publié des mises à jours de version, qui corrigent cinq failles de sécurité. Ces publications mettent à jour toutes les versions de PostgreSQL, de la 8.2 à la 7.3. Elles sont considérées comme CRITIQUE et les administrateurs PostgreSQL et systèmes doivent appliquer les mises à jours le plus rapidement possible. L'équipe de PostgreSQL dédiée à la sécurité a fait de gros efforts pour permettre à ces mises à jours d'être portées également sur les anciennes versions pour que la mise à jour ne nécessite pas de conversion de données.

Publication des révisions 8.2.3, 8.1.8 et 8.0.12

Wed, 07 Feb 2007 21:41:30 +0100

Le PostgreSQL Global Development Group a publié aujourd'hui la mise à jour de sécurité de toutes les versions 8.x : les révisions 8.2.3, 8.1.8, 8.0.12. Elles annulent et remplacent les mises à jour publiées le 5 février qui contenaient un bogue de transtypage affectant de nombreux utilisateurs.

Si vous avez téléchargé une copie des versions 8.2.2, 8.1.7 ou 8.0.11, vous pouvez l'abandonner et installer les dernières révisions.

Révisions de sécurité (Mise à jour)

Wed, 07 Feb 2007 21:07:30 +0100

Le PostgreSQL Global Development Group a publié aujourd'hui une mise à jour de sécurité pour les versions antérieures de PostgreSQL : les révisions 8.0.11, 7.4.16 et 7.3.18. Ces correctifs concernent des trous de sécurité de risque moyen. Il est donc fortement conseillé d'effectuer une mise à jour rapidement.

Les révisions pour les versions 8.1 et 8.2 sont toujours en attente. Les sources publiés pour les révisions 8.2.2 et 8.1.7 ont été retirées à cause d'un bogue concernant les types de données typemod utilisés avec des contraintes de vérification ou des index d'expression. Les nouvelles révisions devraient être publiées sous 24 à 48 heures.

Attention : Révisions des versions 8.1 et 8.2 corrompues

Wed, 07 Feb 2007 17:21:38 +0100

Les derniers correctifs de sécurité publiés contiennent une faille. Celle-ci peut engendrer des erreurs lorsque des types de données de taille variable sont utilisés avec des contraintes sur ces types ou des index d'expression. Il est donc très fortement recommandé aux utilisateurs des versions 8.1 et 8.2 de ne pas installer ces correctifs pour le moment.

Le PostgreSQL Global Development Group publiera de nouvelles révisions pour les versions 8.1 et 8.2 dans les prochaines 24 à 48h. Les utilisateurs des versions 7.3 et 7.4 ne sont pas concernés et sont invités à effectuer les mises à jour. La version 8.0.11 n'est probablement pas concernée, mais les tests continuent. Toute aide pour les tests est la bienvenue.

ATTENTION : Versions RPM corrompues

Wed, 01 Nov 2006 10:43:48 +0100

Devrim Gunduz a annoncé ce jour :

Du fait d'un très grand nombre de bogues dans les RPM de la version 8.1.5, il faut arrêter d'utiliser ces RPM, surtout pour des installations nouvelles.

Nous avons réalisé 4 versions de maintenance après la 8.1.5-1, mais le rapport de bogues émis par NTT et reçu ce jour contenait tous les bogues recensés précédemment.

Problèmes de récupération après crash

Fri, 07 Apr 2006 10:24:53 +0200

Lu sur la liste de diffusion ANNOUNCE, un message de Tom Lane :

Des analyses récentes ont montré que le positionnement à off du paramètre full_page_writes est dangereux dans tous les cas, même avec des architectures telles que des caches disques protégés par des batteries qui interdiraient les écritures partielles de pages.

Il a été récemment rapporté deux cas de paramétrage full_page_writes = off ayant empêché le redémarrage de la base après un crash, alors même qu'aucun problème OS ou système n'a pu être mis en cause.

Nouvelles versions

Mon, 09 Jan 2006 10:16:17 +0100

Les versions patchées 8.1.2, 8.0.6, 7.4.11 et 7.3.13 sont disponibles. Les correctifs des branches 8.0 et 8.1 sont critiques, en particulier pour les utilisateurs de Windows. Il est recommandé d'effectuer les mises à jour le plus rapidement possible.

Un des correctifs critiques répare une vulnérabilité de « déni de service ». Sur les seules versions Windows, le postmaster s'arrête lorsqu'il y a trop de demandes de connexions simultanées. Cela n'affecte en rien les connexions existantes, mais interdit les nouvelles connexions jusqu'au redémarrage du postmaster. Le projet « Common Vulnerabilities and Exposures (CVE) » a assigné le numéro CVE-2006-0105 à ce problème.