Accueil
Rechercher:
sur developpez.com sur les forums
Forums | Tutoriels | F.A.Q's | Participez | Hébergement | Contacts
Accueil Conception Java DotNET Visual Basic  C  C++ Delphi MS-Office SQL & SGBD Oracle  4D  Business Intelligence
Club Emploi Blogs   TV   Dév. Web PHP XML Python Autres 2D-3D-Jeux Sécurité Windows Linux PC Mac
ACCUEIL POSTGRESQL FORUM POSTGRESQL F.A.Q POSTGRESQL UDF POSTGRESQL LIVRES POSTGRESQL

Documentation PostgreSQL 8.2.5 -

Annexe E. Notes de version

E.29. Version 8.0.3

[Note]

Date de sortie

2005-05-09

Cette version contient quelques corrections sur la 8.0.2, dont des correctifs sur des failles de sécurité.

E.29.1. Migration vers la version 8.0.3

Une sauvegarde/restauration n'est pas requise pour ceux utilisant une version 8.0.X. Néanmoins, c'est une façon possible de gérer deux problèmes de sécurité significatifs, qui ont été trouvé dans le contenu initial des catalogues systèmes des versions 8.0.X. Une séquence sauvegarde/initdb/restauration utilisant le initdb de la 8.0.3 corrigera automatiquement ces problèmes.

Le problème de sécurité le plus important est que les fonctions de conversion du codage des ensembles de caractères peuvent être appelées à partir de commandes SQL par des utilisateurs non pribilégiés alors que les fonctions n'ont pas été conçues pour un tel usage et ne sont pas sécurisées contre des choix rusés des arguments. Le correctif implique de modifier la liste déclarée des arguments de ces fonctions pour qu'elles ne soient plus appelées à partir des commandes SQL. (Ceci n'affecte pas leur utilisation normale par la machinerie de conversion du codage.)

Le problème le moins important est que le module contrib/tsearch2 crée plusieurs fonctions déclarant par erreur renvoyées internal alors qu'elles n'acceptent pas les arguments internal. Ceci casse la sûreté des types pour toutes les fonctions utilisant des arguments internal.

Il est fortement recommandé que toutes les installations corrigent ces erreurs, soit par un initdb soit en suivant les procédures de réparation données ci-dessous. Les erreurs permettent au moins à des utilisateurs non privilégiés de la base de données d'arrêter brutalement leur processus serveur et pourraient permettre à des utilisateurs non privilégiés de gagner les privilèges d'un superutilisateur.

Si vous souhaitez ne pas lancer d'initdb, exécutez la même procédure de réparation manuelle que celle montrée dans les notes de la version 7.4.8.

E.29.2. Modifications

  • Modification de la signature de la fonction de codage pour empêcher toute mauvaise utilisation

  • Modification de contrib/tsearch2 pour éviter une utilisation non sécurisée des résultats INTERNAL de la fonction

  • Prévention contre un second paramètre incorrect pour record_out

  • Réparation d'une ancienne condition qui permettait à une transaction d'être vue comme validée pour certains buts (par exemple SELECT FOR UPDATE) légèrement plus tôt que dans les autres buts

    Ceci est un bogue extrêmement sérieux car il pourrait amener à des incohérences apparents des données et visibles brièvement par les applications.

  • Réparation d'une condition entre extension de relation et VACUUM

    Théoriquement, ceci pourrait avoir causé des pertes d'une page de données tout juste insérées, bien que la probabilité d'un tel scénario semble extrêmement faible. Il n'existe pas de cas connus où cela a provoqué plus qu'un échec d'Assert.

  • Correction des comparaisons des valeurs TIME WITH TIME ZONE

    Le code de comparaison était mauvais dans le cas où le commutateur de configuration --enable-integer-datetimes avait été utilisé. NOTE : si vous avez un index sur une colonne TIME WITH TIME ZONE, il sera nécessaire de le REINDEX er après avoir installé cette mise à jour parce que ce correctif corrige l'ordre de tri des valeurs de colonnes.

  • Correction de EXTRACT(EPOCH) pour les valeurs de type TIME WITH TIME ZONE

  • Correction d'un mauvais affichage des secondes fractionnelles négatives dans les valeurs INTERVAL

    Cette erreur est seulement survenue quand l'option de configuration --enable-integer-datetimes avait été utilisée.

  • Correction de pg_dump pour qu'il sauvegarde correctement les noms des déclencheurs contenant % (Neil)

  • Encore plus de correctifs 64 bits pour contrib/intagg

  • Empêche une optimisation incorrecte des fonctions renvoyant RECORD

  • Empêche un arrêt brutal sur COALESCE(NULL,NULL)

  • Correction du makefile de Borland pour libpq

  • Correction de contrib/btree_gist pour le type timetz (Teodor)

  • Fait que pg_ctl vérifie le PID trouvé dans postmaster.pid pour voir s'il s'agit toujours d'un processus en vie

  • Correction des problèmes de pg_dump / pg_restore causés par l'ajout de tampons horaires dans les sauvegardes

  • Correction de l'interaction entre les curseurs et le lancement de déclencheurs déferrés lors de validation de transaction

  • Correction d'une perte mémoire dans les fonctions SQL renvoyant des types de données passés par référence

PrécédentVersion 8.0.4 Niveau supérieur Sommaire Version 8.0.2Suivant
Responsable bénévole de la rubrique PostgreSQL : Damien Griessinger (HpAlpha) - Contacter par EMail :
Vos questions techniques : forum d'entraide PostgreSQL - Publiez vos articles, tutoriels et cours
et rejoignez-nous dans l'équipe de rédaction du club d'entraide des développeurs francophones
Nous contacter - Copyright © 2000-2008 www.developpez.com - Legal informations.