Mise à jour de sécurité pour PostgreSQL

Le PostgreSQL Global Development Group annonce la disponibilité d’une importante mise à jour pour toutes les versions de la base de donnée PostgreSQL. Cette version corrige de multiples failles de sécurité et quelques anomalies découvertes dans les précédentes versions. En particulier pour la version 9.4, un changement est opéré sur l’échappement des chaînes Unicode pour les types de données JSON et JSONB. L’adoption de ces mises à jour est recommandée au plus vite.

PostgreSQL 9.4.1, 9.3.6, 9.2.10, 9.1.15 et9.0.19

Corrections de vulnérabilités

Cette mise à jour comble des failles de sécurités découvertes au long des derniers mois. Toutes ces corrections requièrent une authentification, et quelques unes demandent des conditions additionnelles. Ces dernières ne sont pas considérées généralement urgentes. Néanmoins il est recommandé aux utilisateurs de vérifier la liste des trous de sécurités suivants, particulièrement vulnérables :

• CVE-2015-0241 Débordement de tampon dans les fonctions "to_char".
• CVE-2015-0242 Débordement de tampon dans le remplacement de la famille des fonctions printf.
• CVE-2015-0243 Erreurs mémoire dans les fonctions de l’extension pgcrypto.
• CVE-2015-0244 Erreur dans le protocole entendu de lecture des messages.
• CVE-2014-8161 Erreurs de violation de contrainte causant l’affichage de valeurs dans les colonnes sur lesquelles l’utilisateur n’a pas normalement les droits d’accès.

Cette mise à jour corrige aussi un problème précédemment observé qui lors de tests de régression sous Windows créait des vulnérabilités via connexions non autorisées du test  « postmaster ». Ce problème avait été résolu lors des précédentes mises à jour pour les plateformes non-Windows.

Echappement Unicode pour JSON et JSONB

La gestion des échappements des chaînes Unicode pour JSON et JSONB dans PostgreSQL 9.4 a été modifiée d’une façon qui peut rompre la compatibilité pour certains utilisateurs. Pour régler certaines incohérences, le type JSONB n’accepte plus la séquence d’échappement "\u0000". Le type JSON accepte lui la séquence "\u0000" seulement dans les contextes dans lesquels une conversion est nécessaire afin de retirer la séquence.

Autres corrections et améliorations

En sus des corrections précédentes, une soixantaine de corrections on été apportées dans cette dernière mise à jour. Certaines n’affectent que la version 9.4, mais de nombreuses autres corrigent des problèmes observés dans les version précédentes. Voici une liste des corrections :

• Gestion de noms locaux norvégiens non-ASCII pour Windows
• Evitement de la corruption de données quand la base est déplacée vers un nouveau « tablespace »puis replacée
• Assurance que les tables INLOGGED sont correctement copiées lors des opérations ALTER DATABASE
• Evitement du blocage lors du verrouillage de lignes récemment modifiées
• Correction de deux problèmes sur les requêtes SELECT FOR UPDATE
• Prévention des faux négatifs pour les correspondances d’expression régulière shortest-first
• Correction de faux positifs et négatifs dans l’opérateur de conteneur tsquery
• Correction de la gestion des espaces de noms dans xpath()
• Prévention de la création de noms de colonne vides dans les fonctions de production de lignes
• Autovacuum utilise les réglages per-table cost_limit et cost_delay
• Quand autovacuum=off, le travail est limité à la prévention de l’enroulement seulement
• Plusieurs corrections pour le décodage logique dans la version 9.4
• Correction des erreurs passagères sur les requêtes de veille liées aux remplacements de page
• Prévention de la duplication des archivages de fichier WAL à la fin d’un recouvrement ou d’une veille
• Prévention de blocage dans la restauration parallèle d’un dump schema-only

En plus de ces corrections, les modules contributifs et extensions suivantes ont été corrigés : pg_upgrade, auto_explain, hstore, pageinspect, pgcrypto, pg_test_fsync, tablefunc, et xml2. De multiples fonctions sur les

Enfin, cette mise à jour contient des modifications aux fichiers des fuseaux horaires PostgreSQL. Ces modifications incluent la mise à jour de tzdata dans sa version 2015a, avec des modifications pour le Chili, le Mexique, les îles Caicos et Fidji.

Source : http://www.postgresql.org