Le projet PostgreSQL a informé ses utilisateurs de la publication d’un correctif de sécurité pour une vulnérabilité critique dans leur logiciel de serveur de base de données. Toutes les versions actuellement supportées sont touchées et le correctif sera publié le jeudi 4 avril.
The PostgreSQL Project will be releasing a security update for all
supported versions on Thursday April 4th, 2013. This release will include a
fix for a high-exposure security vulnerability. All users are strongly
urged to apply the update as soon as it is available.
We are providing this advance notice so that users may schedule an update
of their production systems on or shortly after April 4th.
As always, update releases only require installation of packages and a
database system restart. You do not need to dump/restore or use pg_upgrade
for this update release.
À notre connaissance, c’est la première fois qu’un projet Open Source annonce en amont de sa sortie un correctif de sécurité. Nous nous attendons à ce que le correctif corrige une vulnérabilité permettant l’exécution de code à distance dans ce moteur de base de données. Nous recommandons à tous les utilisateurs de PostgreSQL d’effectuer cette mise à jour dès que possible, spécialement si leur serveur de base de données est connecté directement à Internet. Le moteur de recherche Shodan répertorie actuellement plus de 30.000 systèmes ayant un serveur PostgreSQL accessible depuis Internet. Soulignant la gravité de la vulnérabilité, la plate-forme cloud Heroku a annoncé avoir débuté la mise à jour de toutes les installations PostgreSQL de ses clients.
