PostgreSQL
La base de données la plus sophistiquée au monde.

Ouverture de session

Navigation

Contactez-nous

Administration du site :
"equipe chez postgresqlfr point org"

Contact presse :
"fr chez postgresql point org"

Contact association :
"bureau chez postgresqlfr point org"

Questions PostgreSQL :
 IRC :
  serveur irc.freenode.net
  canal #postgresqlfr

Recherche

Accéder aux archives

« Octobre 2008  
Lun Mar Mer Jeu Ven Sam Dim
  2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31  

Syndication

Flux XML

Sondage

Quelle est la version de PostgreSQL la plus répandue sur vos serveurs ?
8.3
10%
8.2
42%
8.1
40%
8.0
2%
7.4
6%
7.3 ou antérieure
0%
Nombre de votes: 48

[ANNONCE] Communiqué de correctif de sécurité

Sécurité | [ANNONCE] Communiqué de correctif de sécurité

Par Christophe Chauvet le 08/01/2008 - 11:05

Le 07 Janvier 2008

Aujourd'hui le « PostgreSQL Global Development Group Â» a publié des mises à jours de version, qui corrigent cinq failles de sécurité. Ces publications mettent à jour toutes les versions de PostgreSQL, de la 8.2 à la 7.3. Elles sont considérées comme CRITIQUE et les administrateurs PostgreSQL et systèmes doivent appliquer les mises à jours le plus rapidement possible. L'équipe de PostgreSQL dédiée à la sécurité a fait de gros efforts pour permettre à ces mises à jours d'être portées également sur les anciennes versions pour que la mise à jour ne nécessite pas de conversion de données.

Merci de lire le reste de ce message pour davantage d'informations complémentaires et d'annonces.

Détail des correctifs de sécurités

Il y a cinq correctifs de sécurité inclus dans ces versions. Aucune de ces failles n'a pour le moment été exploitée sur le terrain ; elles ont été découvertes au travers d'une analyse de sécurité.

Index Functions Privilege Escalation (CVE-2007-6600) : PostgreSQL permet aux utilisateurs de créer des index à partir du résultat d'une fonction utilisateur. Ce sont des index d'expression. Deux vulnérabilités par élévation de droit en découlent :

  1. les index fonctionnels sont exécutés en tant que super-utilisateur et non pas en tant que propriétaire de la table durant le VACUUM et l'ANALYSE 
  2. SET ROLE et SET SESSION AUTHORIZATION sont autorisés dans le cadre des index fonctionnels.

Ces deux failles sont maintenant corrigées.

Regular Expression Denial-of-Service (CVE-2007-4772, CVE-2007-6067, CVE-2007-4769) : trois problèmes distincts dans la bibliothèque des expressions rationnelles utilisée par PostgreSQL autorise un utilisateur mal intentionné d'initier un déni de service (DOS) en passant certaines expressions dans les requêtes SQL. La première peut créer une boucle infinie en utilisant une expression rationnelle forgée pour. Pour la seconde, certaines expressions rationnelles peuvent consommer une quantité excessive de mémoire. La troisième permet un dépassement du nombre de références de retour qui pouvait être utilisé pour arrêter brutalement le serveur. Tous ces problèmes ont été corrigés.

DBLink Privilege Escalation (CVE-2007-6601) : les fonctions DBLink combinées avec une identification locale trust ou ident peuvent être utilisées par un utilisateur mal intentionné dans le but d'acquérir les droits super-utilisateur. Ce problème a été corrigé, et n'affecte pas les utilisateurs qui veulent installer DBLink (comme module optionnel), ou qui utilisent l'authentification password pour les accès locaux. Ce problème avait été traité dans les versions précédentes (voir CVE-2007-3278), mais le correctif n'avait pas bouché toutes les formes possibles de la faille.

Notification de fin de vie produit

La version mineure 7.3.21 sera certainement la dernière mise à jour de la série 7.3. Comme la version 7.3 a maintenant plus de 5 ans, la communauté ne produira plus de mises à jours après celle-ci. Les utilisateurs de la 7.3 sont encouragés à mettre à jour vers la dernière version stable le plus rapidement possible, ou obtenir du support auprès de partenaire commerciaux qui voudront bien continuer la maintenance de cette série.

8.1.11 et 8.0.15 sont également les dernières versions mises à jours des séries 8.1 et 8.0 pour lesquelles la communauté PostgreSQL produit des binaires pour la plateforme Windows. Les utilisateurs de Windows sont encouragés à migrer vers la version 8.2.6 ou supérieurs, qui comprend des correctifs impossible à intégrer aux versions majeures précédentes. Les mises à jours de la 8.1 et 8.0 continueront à être publiées sur les autres plateformes.

Téléchargement et Installation.

Les publications mineures de PostgreSQL 8.2.6, 8.1.11, 8.0.15, 7.4.19 et 7.3.21 sont disponibles à travers notre réseau de miroirs FTP :

Si vous avez besoin d'informations complémentaires concernant ces mises à jours, celles-ci sont disponibles dans les notes de version (http://www.postgresql.org/docs/current/static/release.html). Ces mises à jours peuvent être copiées directement sur une installation existante de PostgreSQL et ne nécessitent pas de sauvegarde/restauration pour les systèmes qui ont bénéficiés des mises à jours durant les six derniers mois (les versions plus anciennes peuvent nécessiter des procédures complémentaires, voir les notes de version).

Naturellement, les publications de mises à jours de sécurités sont cumulatives. Tous les correctifs de sécurités ont été inclus dans la prochaine version 8.3 "Release candidate". Cette note a été postée sur la page de sécurité de PostgreSQL : http://www.postgresql.org/support/security

© PostgreSQLFr, tous droits réservés.
Site déclaré à la CNIL sous le numéro 1074678, conformément à la Loi en vigueur.