Bulletin d'alerte Debian

DLA-491-1 postgresql-9.1 -- Mise à jour de sécurité pour LTS

Date du rapport :
27 mai 2016
Paquets concernés :
postgresql-9.1
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Le projet PostgreSQL a publié une nouvelle version de la branche 9.1 de PostgreSQL :

  • Nettoyage de la file d'attente d'erreurs d'OpenSSL avant les appels d'OpenSSL, plutôt qu'assumer qu'elle est déjà nettoyée ; et assurance qu'elle est nettoyée après (Peter Geoghegan, Dave Vitek, Peter Eisentraut)

Cette modification évite les problèmes quand il y a de multiples connexions utilisant OpenSSL à l'intérieur d'un processus unique et que tout le code impliqué ne suit pas les règles sur le moment où nettoyer la file d'attente d'erreurs. Des échecs ont été signalés particulièrement quand une application client utilise des connexions SSL dans libpq en même temps que des connexions SSL utilisant des enveloppes PHP, Python ou Ruby pour OpenSSL. Il est possible que des problèmes similaires se produisent aussi dans le serveur, si un module d'extension établit une connexion SSL sortante.

  • Correction d'une erreur « failed to build any N-way joins » du planificateur avec une jointure complète incluse dans la partie droite d'une jointure à gauche (Tom Lane)
  • Correction d'un possible mauvais comportement des codes de format TH, th, et Y,YYY dans to_timestamp() (Tom Lane)

Cela pourrait avancer la fin de la chaîne d'entrée, faisant que les codes de format suivants lisent des données inutilisables.

  • Correction du vidage des règles et des vues dans lesquelles l'argument de table d'une construction d'opérateur « Value » « ANY (array) » est une sous-requête (sub-SELECT) (Tom Lane)
  • Utilisation par pg_regress d'un délai de démarrage venant de la variable d'environnement PGCTLTIMEOUT, si elle est configurée (Tom Lane)

Cela est fait pour assurer la cohérence avec un comportement ajouté récemment à pg_ctl ; il facilite les tests automatisés sur les machines lentes.

  • Correction de pg_upgrade pour restaurer correctement l'appartenance d'extension pour les familles d'opérateur contenant une seule classe d'opérateur (Tom Lane)

Dans de tels cas, la famille de l'opérateur était restaurée dans la nouvelle base de données, mais elle n'était plus marquée comme faisant partie d'extension. Cela n'a pas d'effets néfastes immédiats, mais pourrait faire que les exécutions ultérieures de pg_dump émettent une sortie qui pourrait provoquer des erreurs (bénignes) lors de la restauration.

  • Renommage de la fonction interne strtoi() en strtoint() pour éviter un conflit avec une fonction de la bibliothèque NetBSD (Thomas Munro)
  • Utilisation de l'indicateur FORMAT_MESSAGE_IGNORE_INSERTS si nécessaire. Il n'y a pas de bogue actif connu, mais il semble que c'est une bonne idée d'être prudent.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 9.1.22-0+deb7u1.

Nous vous recommandons de mettre à jour vos paquets postgresql-9.1.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS