Bulletin d'alerte Debian

DLA-432-1 postgresql-8.4 -- Mise à jour de sécurité pour LTS

Date du rapport :
25 février 2016
Paquets concernés :
postgresql-8.4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Plusieurs bogues ont été découverts dans PostgreSQL, un système de serveur de bases de données relationnelles. La branche 8.4 a atteint sa fin de vie pour l’amont, mais elle est encore présente dans Squeeze de Debian. Cette nouvelle version mineure de LTS fournit les correctifs appliqués par l’amont à la version 9.1.20, rétroportée vers la version 8.4.22 qui était la dernière version publiée officiellement par les développeurs de PostgreSQL. Cette initiative de LTS pour Squeeze-lts est un projet de la communauté parrainé par credativ GmbH.

Cette publication est la dernière mise à jour de LTS PostgreSQL 8.4. Les utilisateurs devraient migrer vers une version plus récente de PostgreSQL à la première occasion.

Migration vers la version 8.4.22lts6

Un vidage et restauration n’est pas requis pour ceux qui utilisent la version 8.4.X. Cependant, si vous mettez à niveau à partir d’une version antérieure à la version 8.4.22, consultez les notes de publication.

Correctifs

Correction de problèmes de boucle infinie et de débordement de tampon dans des expressions rationnelles (Tom Lane)

Une très grande série de caractères dans des expressions entre crochets pourrait provoquer des boucles infinies dans certains cas ou, dans d’autres, des écrasements de mémoire (CVE-2016-0773).

Réalisation d’un arrêt immédiat en cas de suppression du fichier postmaster.pid (Tom Lane)

Dorénavant, le maître de poste vérifie chaque minute environ que le fichier postmaster.pid est présent et contient ses propres PID. Sinon, il réalise un arrêt immédiat comme s’il avait reçu un SIGQUIT. La principale motivation pour ce changement est de veiller que des échecs dans la grappe de construction soient nettoyés sans intervention manuelle. Mais il sert aussi à limiter les effets indésirables si un administrateur de base de données supprime par la force le fichier postmaster.pid et puis en démarre un nouveau.