Documentation PostgreSQL 8.0.25 | ||||
---|---|---|---|---|
Pr�c�dent | Arri�re rapide | Annexe E. Notes de version | Avance rapide | Suivant |
Date de sortie�: 2008-01-07
Cette version contient divers correctifs de la version 7.4.18, et inclut des corrections pour des failles de s�curit� importantes. For information about new features in the 7.4 major release, see Section E.56.
Les utilisateurs des versions 7.4.X n'ont pas besoin d'effectuer d'une �tape de sauvegarde/restauration. N�anmoins, si vous mettez � jour � partir d'une version pr�c�dant la 7.4.11, voir les notes de version de la 7.4.11.
Emp�che les fonctions d'index de s'ex�cuter avec les droits de l'utilisateur ex�cutant VACUUM, ANALYZE, etc (Tom)
Les fonctions utilis�es dans les expressions d'index et dans les index partiels sont �valu�es quand une nouvelle entr�e est faite dans la table. Depuis longtemps, ceci est un risque, un cheval de Troie pouvant �tre ex�cut� si une personne modifie une table appartenant � un utilisateur � qui on ne peut faire confiance (Notez ques les triggers, valeurs par d�faut, contraintes de v�rification, etc posent le m�me type de risque.) Mais les fonctions utilis�es dans des index sont un danger suppl�mentaire car ils seront ex�cut�s par des op�rations de maintenance p�riodiques comme un VACUUM FULL, op�rations g�n�ralement ex�cut�es par des super-utilisateurs. Donc, un utilisateur cherchant � gagner acc�s au syst�me peut ex�cuter du code avec des droits de super-utilisateur en ajoutant une d�finition d'index avec un code de cheval de Troie, puis attendre la prochaine ex�cution des op�rations de maintenance. La correction s'arrange pour que les op�rations standards de maintenance (ceci incluant VACUUM, ANALYZE, REINDEX et CLUSTER) s'ex�cutent en tant que propri�taire de la table plut�t qu'en tant qu'appelent, en utilisant le m�me m�canisme de bascule de droits utilis� dans les fonctions SECURITY DEFINER. Pour emp�cher un coutournement de cette mesure de s�curit�, l'ex�cution de SET SESSION AUTHORIZATION et SET ROLE est maintenant interdit dans un contexte SECURITY DEFINER. (CVE-2007-6600)
R�paration de bogues relatifs aux expressions rationnelles (Tom, Will Drewry)
Des motifs d'expressions rationnelles con�us tr�s pr�cis�ment pourraient causer des arr�ts brutaux, des boucles infinies (ou presque) et/ou une consommation massive de m�moire. Tout ceci repr�sente un risque de d�ni de service pour les applications qui acceptent des motifs de recherche via des expressions rationnelles � partir de sources indignes de confiance. (CVE-2007-4769, CVE-2007-4772, CVE-2007-6067)
Oblige l'utilisation de l'authentification par mot de passe pour les utilisateurs standards de /contrib/dblink, c'est une mesure de s�curit� (Joe)
La correction apparue dans 8.2.5 �tait incompl�te, car il ne corrigeait la faille que pour certaines fonctions dblink. (CVE-2007-6601, CVE-2007-3278)
Correction d'un �chec du planificateur dans certaines cas de WHERE false AND var IN (SELECT ...) (Tom)
Correction d'un arr�t brutal potentiel dans
translate()
lors de l'utilisation d'un encodage
multi-octets de la base (Tom)
Correction de PL/Python pour ne pas causer un arr�t brutal sur des messages d'exception longs (Alvaro)
Corrections de l'analyseur ecpg (Michael)
Correction pour que crosstab()
, du module
contrib/tablefunc, g�re les rowid NULL comme cat�gorie (Joe)
Correction des routines d'affichage de tsvector et tsquery pour �chapper correctement les antislashs (Teodor, Bruce)
Correction d'un arr�t brutal de to_tsvector()
sur
les tr�s grosses cha�nes en entr�e (Teodor)
N�cessite l'utilisation d'une version sp�cifique d'Autoconf lors de la re-g�n�ration du script configure (Peter)
Ceci affecte seulement les d�veloppeurs et les cr�ateurs de package. La modification a pour but d'emp�cher l'utilisation accidentelle de combinaisons non test�es des versions d'Autoconf et de PostgreSQL. Vous pouvez supprimer la v�rification de la version si vous voulez vraiment utiliser une version diff�rente d'Autoconf, mais c'est de votre responsabilit�.
Pr�c�dent | Sommaire | Suivant |
Release 7.4.20 | Niveau sup�rieur | Version 7.4.18 |