Debians sikkerhedsbulletin

DLA-432-1 postgresql-8.4 -- LTS-sikkerhedsopdatering

Rapporteret den:
25. feb 2016
Berørte pakker:
postgresql-8.4
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.
Yderligere oplysninger:

Flere fejl blev opdaget i PostgreSQL, et relationsdatabasesystem. 8.4-forgreningen understøttes ikke længere af opstrømsudviklerne, men er stadig til stede i Debian squeeze. Denne nye mindre LTS-version indeholder rettelser, som blev udrullet af opstrøm i version 9.1.20, tilbageført til 8.4.22, som var den sidste officielt understøttede version udgivet af PostgreSQL-udviklere. Dette LTS-arbejde vedrørende squeeze-lts, er et fællesskabsprojekt sponseret af credativ GmbH.

Denne udgave er den sidste LTS-opdatering af PostgreSQL 8.4. Brugerne bør migrere til en nyere PostgreSQL så snart som muligt.

Migrering til version 8.4.22lts6

En dump/restore er ikke krævet for dem, der kører 8.4.X. Men hvis man opgraderer fra en version tidligere end 8.4.22, så de de relevante udgivelsesbemærkninger.

Rettelser

Retter problemer med uendelige løkker og bufferoverløb i regulære udtryk (Tom Lane)

Meget store tegnsætspænd i bracket-udtryk kunne medføre uendelige løkker under nogle omstændigheder, og hukommelsesoverskrivninger i andre tilfælde. (CVE-2016-0773)

Udfører en omgående nedlukning hvis filen postmaster.pid er fjernet (Tom Lane)

Postmaster kontrollerer nu hvert minut eller så, om postmaster.pid stadig findes og stadig indeholder sin egen PID. Hvis det ikke er tilfældet, udføres en omgående nedlukning, som om der er modtaget en SIGQUIT. Den primære årsag til ændringen er at sikre, at fejlende buildfarm-kørsler bliver ryddet op, uden manuel indblanding; men det tjener også til at begrænse bivirkningerne, hvis en DBA med magt fjerner postmaster.pid og dernæst starter en ny postmaster.