Mises à jour mineures de PostgreSQL : 9.1.4, 9.0.8, 8.4.12, 8.3.19

== Mises à jour mineures de PostgreSQL : 9.1.4, 9.0.8, 8.4.12, 8.3.19 ==

Le projet PostgreSQL a sorti le lundi 4 juin des mises à jour de
sécurité pour toutes les branches actives du SGBD PostgreSQL. Ces mises
à jour correspondent aux versions 9.1.4, 9.0.8, 8.4.12, 8.3.19.

Les utilisateurs de la fonction crypt(text, text) avec le chiffrement
DES du module optionnel pg_crypto doivent mettre à jour leur
installation immédiatement. Il est conseillé à tous les autres
administrateurs de bases de données de mettre à jour leur version de
PostgreSQL lors de leur prochain arrêt de maintenance. Vous trouverez
plus de détails sur les corrections de failles de sécurité ci-dessous.

Cette mise à jour contient 42 correctifs pour la version 9.1. Les
versions plus anciennes ont moins de correctifs. Parmi les correctifs :

* Correction du script de mise à jour de l'extension citext pour les
collationnements sur des tableaux de données de type citext et sur des
domaines utilisant citext comme type de base
* Correction de la gestion des fuseaux horaires
* Correction du type text ou du type char pour nommer les conversions
réalisant des tronquage de chaînes de caractères ayant des encodages
multi-octets
* Correction d'un bug de copie mémoire dans to_tsquery()
* S'assure que txid_current() rapporte le bon epoch quand cette
fonction est exécutée sur un esclave dans le mode hot standby
* Correction de la façon dont le planificateur gère les sous-SELECT
référençant des variables provenant du côté potentiellement NULL d'une
jointure externe de la requête englobante
* Correction de la planification des sous-requêtes unies avec UNION
ALL dont les colonnes en sortie ne sont pas de simples variables
* Correction de la lenteur de démarrage des sessions lorsque le
catalogue système pg_attribute est très volumineux
* S'assure que les parcours séquentiels vérifient suffisamment
fréquemment les demandes d'annulation de requêtes
* Show whole-row variables safely when printing views or rules
* Correction de COPY FROM pour qu'il gère proprement les chaînes de
marqueur null qui correspondent à un encodage invalide
* Correction d'EXPLAIN VERBOSE pour les requêtes CTE en écriture
contenant des clauses RETURNING
* Correction de PREPARE TRANSACTION pour qu'il fonctionne
correctement, même en présence de verrous informatifs
* Corrections de bugs avec des tables temporaires utilisées dans les
scripts d'installation des extensions
* S'assure que les processus « autovacuum worker » réalisent une
vérification de la profondeur de la pile
* Correction du collecteur de traces pour ne pas perdre la cohérence
des traces sous forte charge
* Correction du collecteur de traces pour s'assurer qu'il va relancer
la rotation des fichiers à réception du signal SIGHUP
* Correction de la logique de rejeu des journaux de transactions pour
que les index GIN ne posent pas de problème si ces index sont supprimés
par la suite
* Ignorer le délai de la réplication synchrone lors de la validation
d'une transaction qui a seulement modifié des tables temporaires

Comme pour les autres versions mineures, il n'est pas nécessaire de
sauvegarder et recharger les bases de données. Il n'est pas utile non
plus d'utiliser pg_upgrade. Pour appliquer cette mise à jour, arrêtez
PostgreSQL, mettez à jour les exécutables et redémarrez PostgreSQL. Puis
réalisez les étapes post-mise-à-jour une fois le serveur redémarré. Si
vous utilisez le type de données citext et que vous avez migré à partir
d'une ancienne version majeure en utilisant pg_upgrade, merci de lire
les notes de version pour la 9.1.4 pour effectuer quelques étapes
supplémentaires importantes.

Cette mise à jour inclut deux corrections de sécurité pour les failles
suivantes :

* CVE-2012-2143: Fix incorrect password transformation in
contrib/pgcrypto’s DES crypt() function

Cette vulnérabilité affecte les utilisateurs de PostgreSQL qui utilise
la fonction crypt(text, text) (dans le module pg_crypto) avec le
chiffrement DES et des mots de passe non-ASCII. Les mots de passe
affectés sont ceux qui contiennent la valeur 0x80. Les caractères après
cet octet sont ignorés, rendant le mot de passe réel plus petit et donc
plus facile à découvrir. Après la mise à jour, tous les mots de passe
contenant cet octet doivent être regénérés.

* CVE-2012-2655: Ignore SECURITY DEFINER and SET attributes for a
procedural language’s call handler

Appliquer ces attributs au gestionnaire d'appels du langage pouvait
causer un crash du serveur.

Toutes les versions supportées de PostgreSQL sont affectées. Les notes
de version de chaque branche contiennent une liste complète des
modifications avec de nombreux détails.

Téléchargez les nouvelles versions maintenant sur :

* http://www.postgresql.org/download/
* Code source: http://www.postgresql.org/ftp/source/
* Paquets binaires: http://www.postgresql.org/ftp/binary/
* Installeur One-click (dont le paquet Windows):
http://www.enterprisedb.com/products-services-training/pgdownload