Le PostgreSQL Global Development Group a publié une mise à jour de toutes les versions maintenues du système de gestion de bases de données.

Cette mise à jour inclut les versions 9.4.5, 9.3.10, 9.2.14, 9.1.19 et 9.0.23. Elle corrige deux failles de sécurité, et les bogues découverts au cours des 4 derniers mois.

Les utilisateurs vulnérables aux failles de sécurité doivent procéder à la mise à jour le plus vite possible. Les autres peuvent utiliser la prochaine fenêtre de maintenance programmée pour procéder à la mise à jour.

Les deux failles de sécurité corrigées. sont les suivantes :

CVE-2015-5289 : les valeurs json ou jsonb en entrée, construites à partir de saisies utilisateurs aléatoires, peuvent entraîner un crash de PostgreSQL et un déni de service.

CVE-2015-5288 : La fonction crypt() incluse dans le paquet d'extension optionnel pgCrypto peut être exploitée pour lire quelques octets supplémentaires de mémoire. Aucun exploit fonctionnel n'a été développé pour cette faille.

Le projet PostgreSQL est redevable à Josh Kupershmidt et Oskari Saarenmaa pour la découverte de ces failles.

Cette mise à jour désactive également la renégociation SSL par défaut qui était activée par défaut auparavant. La renégociation SSL sera complètement supprimée des versions de PostgreSQL postérieures à la 9.5.

Cette mise à jour corrige en outre de nombreux problèmes remontés par les utilisateurs au cours des derniers mois.

Plus d'informations