LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-0019-1 postgresql-8.4

Bulletin d'alerte Debian

DLA-0019-1 postgresql-8.4 -- Mise à jour de sécurité pour LTS

Date du rapport :

29 juillet 2014

Paquets concernés :

postgresql-8.4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0067.

Plus de précisions :

Nouvelle version amont mineure. Les utilisateurs devraient mettre à niveau vers cette version lors de leur prochain créneau de maintenance prévu.

Changement notable :

Sécurisation des sockets du domaine Unix des « postmasters » temporaires démarrés durant « make check » (Noah Misch).

Tout utilisateur local capable d'accéder au fichier de socket pourrait se connecter comme super-utilisateur du bootstrap du serveur, puis continuer à exécuter du code arbitraire en tant qu'utilisateur du système d'exploitation exécutant le test comme cela a été précédemment noté dans CVE-2014-0067. Cette modification protège contre ce risque en plaçant le socket du serveur dans un sous-répertoire temporaire, en mode 0700, de /tmp.

8.4.22 marque la fin de vie de la branche 8.4 de PostgreSQL. Le Global Development Group de PostgreSQL ne publiera plus de version.

Les utilisateurs de PostgreSQL 8.4 devraient se préoccuper de la mise à niveau vers une nouvelle version de PostgreSQL. Les options sont les suivantes :

• Mise à niveau vers Debian 7 (Wheezy) qui fournit postgresql-9.1.

• L'utilisation du dépôt apt.postgresql.org, fournissant des paquets pour toutes les branches actives de PostgreSQL (de 9.0 à 9.4 au moment de l'annonce).

  Voir https://wiki.postgresql.org/wiki/Apt pour plus d'information sur le dépôt.

  Un script d'assistance pour activer le dépôt est fourni dans /usr/share/doc/postgresql-8.4/examples/apt.postgresql.org.sh.

• Une version LTS de 8.4 est programmée qui couvrira toute la période de vie de squeeze-lts. Les mises à jour seront probablement faites au mieux. Les utilisateurs peuvent tirer avantage de cela, mais devraient encore envisager de mettre à niveau vers de nouvelles versions de PostgreSQL dans les prochains mois.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 8.4.22-0+deb6u1 de postgresql-8.4.