Le groupe de développement de PostgreSQL vient de mettre à disposition une version corrective pour toutes les branches actives du projet. Cette mise à jour est qualifiée de “mineure” dans le sens où elle n'apporte pas de changements fonctionnels. Cependant, elle corrige une vulnérabilité très sérieuse qui, sous certaines conditions, peut entraîner la destruction de fichiers sur le serveur hébergeant le SGBD.

Sous certaines conditions particulières, une personne se trouvant sur le même réseau que l'instance PostgreSQL peut endommager ou détruire des fichiers sur ce serveur. À ce il n'existe pas de programme connu exploitant cette faille. Néanmoins les risques encourus sont les suivants: déni de service, usurpation de droits d'accès et exécution arbitraire de code.

« Ce problème est très sérieux et il doit être traité rapidement » explique Guillaume Lelarge, directeur technique de DALIBO, spécialiste français de PostgreSQL, « Il concerne essentiellement les serveurs qui autorisent un accès illimité via le réseau, et donc en particulier les instances hébergées sur les “clouds” publics. Si votre serveur se trouve sur un réseau interne, derrière un pare-feu ou un réseau à accès restreint, alors cette vulnérabilité vous touche dans une moindre mesure. »

Cette faille nous donne l'occasion de rappeler un principe élémentaire de sécurité: sauf nécessité absolue, il ne faut pas laisser un serveur PostgreSQL écouter sur un réseau inconnu, non sécurisé ou directement sur internet. Ceci est vrai pour PostgreSQL comme pour les autres SGBD.

À noter que ce problème touche uniquement les versions 9.0, 9.1 et 9.2 de PostgreSQL.

Tous les administrateurs de bases de données PostgreSQL doivent effectuer la mise à jour dès que possible. L'opération est simple et rapide. Elle ne nécessite pas de validation applicative, ni de tests de non-régression. La coupure de service induite par la mise à jour est très courte.

« Le correctif pour PostgreSQL arrive quelques jours après la détection de la faille de sécurité » déclare Damien Clochard, Directeur des Opérations de DALIBO, spécialiste français de PostgreSQL, « Les détails de la faille ont été tenus secrets jusqu'à la date de livraison du correctif et une pré-annonce a été diffusée il y a une semaine. Tout a été fait pour limiter l'exposition et les risques. Le sérieux et la réactivité de la communauté sont la démonstration que PostgreSQL est un SGBD robuste et sécurisant. »

Transcription de l'annonce officielle : http://www.dalibo.org/nouvelles_versions_mineures_de_postgresql_9.2.4_9.1.9_9.0.13_8.4.17

Description de la vulnérabilité : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899