Correctif de sécurité critique pour PostgreSQL

Le PostgreSQL Global Development Group, qui pilote le développement de la base de données open Source PostgreSQL a publié cette semaine un correctif de sécurité corrigeant plusieurs problèmes critiques sur la base de données dont plusieurs problèmes d’escalade de privilèges, mais aussi des problèmes dans les fonctions de réplication binaire du SGBD et dans le verrouillage de pages d’index pouvant se traduire par des corruptions  de données ou d’index.  Le correctif permet aussi de corriger trois bogues pouvant empêcher le démarrage de serveurs en standby en cas de défaillance du serveur primaire.

Le correctif concerne toutes les versions supportées du SGBD PostgreSQL à savoir les versions 9.3.3, 9.2.7, 9.1.12, 9.0.16 et 8.4.20. Plus de détails sur les failles corrigées peuvent être obtenus en consultant les annonces de sécurité CVE-2014-0060 à CVE-2014-0066. Il est à noter que PostgreSQL met en garde contre une faille connue dans les versions compilées depuis les sources. Cette faille documentée dans le document CVE-2014-0067 fera l’objet d’un correctif séparé. En attendant, PostgreSQL recommande de ne pas lancer de "make check" sur des systèmes où se trouvent des comptes utilisateurs non approuvés (le make check donnant accès au compte système pour des utilisateurs non autorisés…).

Un descriptif complet de la nouvelle release est consultable sur le site de PostgreSQL à l’adresse http://www.postgresql.org/docs/current/static/release.html.