Le PostgreSQL Global Development Group annonce la disponibilité d’une importante mise à jour pour toutes les versions de la base de donnée PostgreSQL. Cette version corrige de multiples failles de sécurité et quelques anomalies découvertes dans les précédentes versions. En particulier pour la version 9.4, un changement est opéré sur l’échappement des chaînes Unicode pour les types de données JSON et JSONB. L’adoption de ces mises à jour est recommandée au plus vite.
Cette mise à jour comble des failles de sécurités découvertes au long des derniers mois. Toutes ces corrections requièrent une authentification, et quelques unes demandent des conditions additionnelles. Ces dernières ne sont pas considérées généralement urgentes. Néanmoins il est recommandé aux utilisateurs de vérifier la liste des trous de sécurités suivants, particulièrement vulnérables :
Cette mise à jour corrige aussi un problème précédemment observé qui lors de tests de régression sous Windows créait des vulnérabilités via connexions non autorisées du test « postmaster ». Ce problème avait été résolu lors des précédentes mises à jour pour les plateformes non-Windows.
La gestion des échappements des chaînes Unicode pour JSON et JSONB dans PostgreSQL 9.4 a été modifiée d’une façon qui peut rompre la compatibilité pour certains utilisateurs. Pour régler certaines incohérences, le type JSONB n’accepte plus la séquence d’échappement "\u0000". Le type JSON accepte lui la séquence "\u0000" seulement dans les contextes dans lesquels une conversion est nécessaire afin de retirer la séquence.
En sus des corrections précédentes, une soixantaine de corrections on été apportées dans cette dernière mise à jour. Certaines n’affectent que la version 9.4, mais de nombreuses autres corrigent des problèmes observés dans les version précédentes. Voici une liste des corrections :
En plus de ces corrections, les modules contributifs et extensions suivantes ont été corrigés : pg_upgrade, auto_explain, hstore, pageinspect, pgcrypto, pg_test_fsync, tablefunc, et xml2. De multiples fonctions sur les
Enfin, cette mise à jour contient des modifications aux fichiers des fuseaux horaires PostgreSQL. Ces modifications incluent la mise à jour de tzdata dans sa version 2015a, avec des modifications pour le Chili, le Mexique, les îles Caicos et Fidji.
Source : http://www.postgresql.org