| Documentation PostgreSQL 8.0.25 | ||||
|---|---|---|---|---|
| Pr�c�dent | Arri�re rapide | Annexe E. Notes de version | Avance rapide | Suivant |
Date de sortie�: 2008-01-07
Cette version contient divers correctifs de la version 7.3.20, et inclut des corrections pour des failles de s�curit� importantes.
Ceci sera s�rement la derni�re version PostgreSQL dans la s�rie 7.3.X. Les utilisateurs sont encourag�s � mettre � jour bient�t.
Les utilisateurs des versions 7.3.X n'ont pas besoin d'effectuer d'une �tape de sauvegarde/restauration. N�anmoins, si vous mettez � jour � partir d'une version pr�c�dant la 7.3.13, voir les notes de sortie de la 7.3.13.
Emp�che les fonctions d'index de s'ex�cuter avec les droits de l'utilisateur ex�cutant VACUUM, ANALYZE, etc (Tom)
Les fonctions utilis�es dans les expressions d'index et dans les index partiels sont �valu�es quand une nouvelle entr�e est faite dans la table. Depuis longtemps, ceci est un risque, un cheval de Troie pouvant �tre ex�cut� si une personne modifie une table appartenant � un utilisateur � qui on ne peut faire confiance (Notez ques les triggers, valeurs par d�faut, contraintes de v�rification, etc posent le m�me type de risque.) Mais les fonctions utilis�es dans des index sont un danger suppl�mentaire car ils seront ex�cut�s par des op�rations de maintenance p�riodiques comme un VACUUM FULL, op�rations g�n�ralement ex�cut�es par des super-utilisateurs. Donc, un utilisateur cherchant � gagner acc�s au syst�me peut ex�cuter du code avec des droits de super-utilisateur en ajoutant une d�finition d'index avec un code de cheval de Troie, puis attendre la prochaine ex�cution des op�rations de maintenance. La correction s'arrange pour que les op�rations standards de maintenance (ceci incluant VACUUM, ANALYZE, REINDEX et CLUSTER) s'ex�cutent en tant que propri�taire de la table plut�t qu'en tant qu'appelent, en utilisant le m�me m�canisme de bascule de droits utilis� dans les fonctions SECURITY DEFINER. Pour emp�cher un coutournement de cette mesure de s�curit�, l'ex�cution de SET SESSION AUTHORIZATION et SET ROLE est maintenant interdit dans un contexte SECURITY DEFINER. (CVE-2007-6600)
Oblige l'utilisation de l'authentification par mot de passe pour les utilisateurs standards de /contrib/dblink, c'est une mesure de s�curit� (Joe)
La correction apparue dans 7.3.20 �tait incompl�te, car il ne corrigeait la faille que pour certaines fonctions dblink. (CVE-2007-6601, CVE-2007-3278)
Correction d'un arr�t brutal potentiel dans
translate() lors de l'utilisation d'un encodage
multi-octets de la base (Tom)
Correction pour que crosstab(), du module
contrib/tablefunc, g�re les rowid NULL comme cat�gorie (Joe)
N�cessite l'utilisation d'une version sp�cifique d'Autoconf lors de la re-g�n�ration du script configure (Peter)
Ceci affecte seulement les d�veloppeurs et les cr�ateurs de package. La modification a pour but d'emp�cher l'utilisation accidentelle de combinaisons non test�es des versions d'Autoconf et de PostgreSQL. Vous pouvez supprimer la v�rification de la version si vous voulez vraiment utiliser une version diff�rente d'Autoconf, mais c'est de votre responsabilit�.
| Pr�c�dent | Sommaire | Suivant |
| Sortie 7.4 | Niveau sup�rieur | Version 7.3.20 |