Changeset 870

Timestamp:

01/04/08 20:46:01 (9 months ago)

Author:

gleu

Message:

Mise à jour pour la version 7.4.19.

Files:

• traduc/branches/bv747/manuel/datatype.sgml (modified) (1 diff)
• traduc/branches/bv747/manuel/page.sgml (modified) (1 diff)
• traduc/branches/bv747/manuel/ref/set_session_auth.sgml (modified) (3 diffs)
• traduc/branches/bv747/manuel/release.sgml (modified) (4 diffs)
• traduc/branches/bv747/manuel/version.sgml (modified) (1 diff)

traduc/branches/bv747/manuel/datatype.sgml

@@ -2647 +2647 @@
-    Les adresses IPv4 apparaîtront toujours avant les adresses IPv6,
-    Y compris les adresses IPv4 encapsulées, comme
-:
+
-   </para>
-

traduc/branches/bv747/manuel/page.sgml

@@ -58 +58 @@
-
-<row>
-Pointer
+Id
-<entry>Tableau de couples (décalage, longueur) pointant vers les vrais
-éléments.</entry>

traduc/branches/bv747/manuel/ref/set_session_auth.sgml

@@ -30 +30 @@
-  <para>
-   Cette commande initialise l'identifiant de l'utilisateur de la session de
-e contexte courant de la
-session SQL avec 
+a session SQL avec
+
-   Le nom de l'utilisateur pourrait être soit un identifiant soit une chaîne
-   littérale. En utilisant cette commande, il est possible, par exemple, de
@@ -43 +43 @@
-   s'est authentifié). L'identifiant de l'utilisateur courant est normalement
-   identique à l'identifiant de l'utilisateur de la session mais cela pourrait
-
+
+
-   et des mécanismes similaires. L'identifiant de l'utilisateur courant est
-   important pour la vérification des droits.
@@ -66 +67 @@
-   pour être ceux de nom de l'utilisateur originellement authentifié. Ces
-   formes pourraient être exécutées par tout utilisateur.
+  </para>
+ </refsect1>
+
+ <refsect1>
+  <title>Notes</title>
+
+  <para>
+   <command>SET SESSION AUTHORIZATION</command> ne peut pas être utilisé dans
+   une fonction <literal>SECURITY DEFINER</literal>.
-  </para>
- </refsect1>

traduc/branches/bv747/manuel/release.sgml

@@ -36 +36 @@
- <title>Notes de version</title>
-
+ <sect1 id="release-7-4-19">
+  <title>Version 7.4.19</title>
+
+  <note>
+  <title>Date de sortie</title>
+  <simpara>2008-01-07</simpara>
+  </note>
+
+  <para>
+   Cette version contient divers correctifs de la version 7.4.18,
+   et inclut des corrections pour des failles de sécurité importantes.
+  </para>
+
+  <sect2>
+   <title>Migration vers la version 7.4.19</title>
+
+   <para>
+    Les utilisateurs des versions 7.4.X n'ont pas besoin d'effectuer d'une
+    étape de sauvegarde/restauration. Néanmoins, si vous mettez à jour à partir
+    d'une version précédant la 7.4.11, voir les notes de version de la 7.4.11.
+   </para>
+
+  </sect2>
+
+  <sect2>
+   <title>Modifications</title>
+
+   <itemizedlist>
+
+    <listitem>
+     <para>
+      Empêche les fonctions d'index de s'exécuter avec les droits de
+      l'utilisateur exécutant <command>VACUUM</command>,
+      <command>ANALYZE</command>, etc (Tom)
+     </para>
+
+     <para>
+      Les fonctions utilisées dans les expressions d'index et dans les index
+      partiels sont évaluées quand une nouvelle entrée est faite dans la table.
+      Depuis longtemps, ceci est un risque, un cheval de Troie pouvant être
+      exécuté si une personne modifie une table appartenant à un utilisateur
+      à qui on ne peut faire confiance (Notez ques les triggers, valeurs par
+      défaut, contraintes de vérification, etc posent le même type de risque.)
+      Mais les fonctions utilisées dans des index sont un danger supplémentaire
+      car ils seront exécutés par des opérations de maintenance périodiques
+      comme un <command>VACUUM FULL</command>, opérations généralement
+      exécutées par des super-utilisateurs. Donc, un utilisateur cherchant à
+      gagner accès au système peut exécuter du code avec des droits de
+      super-utilisateur en ajoutant une définition d'index avec un code de
+      cheval de Troie, puis attendre la prochaine exécution des opérations de
+      maintenance. La correction s'arrange pour que les opérations standards de
+      maintenance (ceci incluant <command>VACUUM</command>,
+      <command>ANALYZE</command>, <command>REINDEX</command> et
+      <command>CLUSTER</command>) s'exécutent en tant que propriétaire de la
+      table plutôt qu'en tant qu'appelent, en utilisant le même mécanisme de
+      bascule de droits utilisé dans les fonctions <literal>SECURITY
+      DEFINER</literal>. Pour empêcher un coutournement de cette mesure de
+      sécurité, l'exécution de <command>SET SESSION AUTHORIZATION</command>
+      et <command>SET ROLE</command> est maintenant interdit dans un contexte
+      <literal>SECURITY DEFINER</literal>. (CVE-2007-6600)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Réparation de bogues relatifs aux expressions rationnelles (Tom, Will
+      Drewry)
+     </para>
+
+     <para>
+      Des motifs d'expressions rationnelles conçus très précisément pourraient
+      causer des arrêts brutaux, des boucles infinies (ou presque) et/ou une
+      consommation massive de mémoire. Tout ceci représente un risque de
+      déni de service pour les applications qui acceptent des motifs de
+      recherche via des expressions rationnelles à partir de sources indignes
+      de confiance. (CVE-2007-4769, CVE-2007-4772, CVE-2007-6067)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Oblige l'utilisation de l'authentification par mot de passe pour les
+      utilisateurs standards de <filename>/contrib/dblink</filename>, c'est
+      une mesure de sécurité (Joe)
+     </para>
+
+     <para>
+      La correction apparue dans 8.2.5 était incomplète, car il ne corrigeait
+      la faille que pour certaines fonctions <filename>dblink</filename>. 
+      (CVE-2007-6601, CVE-2007-3278)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Correction d'un échec du planificateur dans certaines cas de
+      <literal>WHERE false AND var IN (SELECT ...)</literal> (Tom)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Correction d'un arrêt brutal potentiel dans
+      <function>translate()</function> lors de l'utilisation d'un encodage
+      multi-octets de la base (Tom)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Correction de PL/Python pour ne pas causer un arrêt brutal sur des
+      messages d'exception longs (Alvaro)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Corrections de l'analyseur <application>ecpg</application> (Michael)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Correction pour que <function>crosstab()</function>, du module
+      <filename>contrib/tablefunc</filename>, gère les rowid NULL comme catégorie (Joe)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Correction des routines d'affichage de <type>tsvector</type> et
+      <type>tsquery</type> pour échapper correctement les antislashs (Teodor,
+      Bruce)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Correction d'un arrêt brutal de <function>to_tsvector()</function> sur
+      les très grosses chaînes en entrée (Teodor)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Nécessite l'utilisation d'une version spécifique
+      d'<productname>Autoconf</productname> lors de la re-génération du script
+      <command>configure</command> (Peter)
+     </para>
+
+     <para>
+      Ceci affecte seulement les développeurs et les créateurs de package.
+      La modification a pour but d'empêcher l'utilisation accidentelle de
+      combinaisons non testées des versions d'<productname>Autoconf</productname>
+      et de <productname>PostgreSQL</productname>. Vous pouvez supprimer la
+      vérification de la version si vous voulez vraiment utiliser une version
+      différente d'<productname>Autoconf</productname>, mais c'est de votre
+      responsabilité.
+     </para>
+    </listitem>
+
+   </itemizedlist>
+
+  </sect2>
+ </sect1>
+
-  <sect1 id="release-7-4-18">
-   <title>Version 7.4.18</title>
@@ -63 +229 @@
-
-    <itemizedlist>
+
+    <listitem>
+     <para>
+      Empêche une corruption de l'index quand une transaction insère des lignes
+      puis annule tout juste avant la fin d'un <command>VACUUM</command> en
+      parallèle sur la même table (Tom)
+     </para>
+    </listitem>
-
-     <listitem>
@@ -3617 +3791 @@
- </sect1>
-
+ <sect1 id="release-7-3-21">
+  <title>Version 7.3.21</title>
+
+  <note>
+  <title>Date de sortie</title>
+  <simpara>2008-01-07</simpara>
+  </note>
+
+  <para>
+   Cette version contient divers correctifs de la version 7.3.20,
+   et inclut des corrections pour des failles de sécurité importantes.
+  </para>
+
+  <para>
+   Ceci sera sûrement la dernière version <productname>PostgreSQL</productname>
+   dans la série 7.3.X. Les utilisateurs sont encouragés à mettre à jour bientôt.
+  </para>
+
+  <sect2>
+   <title>Migration vers la version 7.3.21</title>
+
+   <para>
+    Les utilisateurs des versions 7.3.X n'ont pas besoin d'effectuer d'une
+    étape de sauvegarde/restauration. Néanmoins, si vous mettez à jour à partir
+    d'une version précédant la 7.3.13, voir les notes de sortie de la 7.3.13.
+   </para>
+
+  </sect2>
+
+  <sect2>
+   <title>Modifications</title>
+
+   <itemizedlist>
+
+    <listitem>
+     <para>
+      Empêche les fonctions d'index de s'exécuter avec les droits de
+      l'utilisateur exécutant <command>VACUUM</command>,
+      <command>ANALYZE</command>, etc (Tom)
+     </para>
+
+     <para>
+      Les fonctions utilisées dans les expressions d'index et dans les index
+      partiels sont évaluées quand une nouvelle entrée est faite dans la table.
+      Depuis longtemps, ceci est un risque, un cheval de Troie pouvant être
+      exécuté si une personne modifie une table appartenant à un utilisateur
+      à qui on ne peut faire confiance (Notez ques les triggers, valeurs par
+      défaut, contraintes de vérification, etc posent le même type de risque.)
+      Mais les fonctions utilisées dans des index sont un danger supplémentaire
+      car ils seront exécutés par des opérations de maintenance périodiques
+      comme un <command>VACUUM FULL</command>, opérations généralement
+      exécutées par des super-utilisateurs. Donc, un utilisateur cherchant à
+      gagner accès au système peut exécuter du code avec des droits de
+      super-utilisateur en ajoutant une définition d'index avec un code de
+      cheval de Troie, puis attendre la prochaine exécution des opérations de
+      maintenance. La correction s'arrange pour que les opérations standards de
+      maintenance (ceci incluant <command>VACUUM</command>,
+      <command>ANALYZE</command>, <command>REINDEX</command> et
+      <command>CLUSTER</command>) s'exécutent en tant que propriétaire de la
+      table plutôt qu'en tant qu'appelent, en utilisant le même mécanisme de
+      bascule de droits utilisé dans les fonctions <literal>SECURITY
+      DEFINER</literal>. Pour empêcher un coutournement de cette mesure de
+      sécurité, l'exécution de <command>SET SESSION AUTHORIZATION</command>
+      et <command>SET ROLE</command> est maintenant interdit dans un contexte
+      <literal>SECURITY DEFINER</literal>. (CVE-2007-6600)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Oblige l'utilisation de l'authentification par mot de passe pour les
+      utilisateurs standards de <filename>/contrib/dblink</filename>, c'est
+      une mesure de sécurité (Joe)
+     </para>
+
+     <para>
+      La correction apparue dans 7.3.20 était incomplète, car il ne corrigeait
+      la faille que pour certaines fonctions <filename>dblink</filename>. 
+      (CVE-2007-6601, CVE-2007-3278)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Correction d'un arrêt brutal potentiel dans
+      <function>translate()</function> lors de l'utilisation d'un encodage
+      multi-octets de la base (Tom)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Correction pour que <function>crosstab()</function>, du module
+      <filename>contrib/tablefunc</filename>, gère les rowid NULL comme catégorie (Joe)
+     </para>
+    </listitem>
+
+    <listitem>
+     <para>
+      Nécessite l'utilisation d'une version spécifique
+      d'<productname>Autoconf</productname> lors de la re-génération du script
+      <command>configure</command> (Peter)
+     </para>
+
+     <para>
+      Ceci affecte seulement les développeurs et les créateurs de package.
+      La modification a pour but d'empêcher l'utilisation accidentelle de
+      combinaisons non testées des versions d'<productname>Autoconf</productname>
+      et de <productname>PostgreSQL</productname>. Vous pouvez supprimer la
+      vérification de la version si vous voulez vraiment utiliser une version
+      différente d'<productname>Autoconf</productname>, mais c'est de votre
+      responsabilité.
+     </para>
+    </listitem>
+
+   </itemizedlist>
+
+  </sect2>
+ </sect1>
+
-  <sect1 id="release-7-3-20">
-   <title>Version 7.3.20</title>
@@ -3644 +3938 @@
-
-    <itemizedlist>
+
+    <listitem>
+     <para>
+      Empêche une corruption de l'index quand une transaction insère des lignes
+      puis annule tout juste avant la fin d'un <command>VACUUM</command> en
+      parallèle sur la même table (Tom)
+     </para>
+    </listitem>
-
-     <listitem>

traduc/branches/bv747/manuel/version.sgml

@@ -1 @@
-8
+9
-<!entity majorversion "7.4">