Sign in Subscribe
By Jean-Marc BIAUDIS in PostgreSQL

Alerte sécurité : 3 failles critiques dans PostgreSQL corrigées par Ubuntu

Mauvaise nouvelle pour les administrateurs de bases de données : trois nouvelles vulnérabilités viennent d’être corrigées dans PostgreSQL. Elles permettaient potentiellement de fuiter des données sensibles ou même d’exécuter du code arbitraire. Ubuntu vient de publier le correctif USN-7741-1 ; voici ce que vous risquez si vous tardez à appliquer la mise à jour.

Les trois failles en détail

CVE-2025-8713 : fuite d’informations sensibles

Dean Rasheed a mis au jour un problème dans la gestion des access control lists (listes de contrôle d’accès). Un attaquant peut en profiter pour lire des données normalement protégées. Imaginez un schéma censé être masqué ; il pourrait soudainement devenir visible. Le genre de bug qui rend les DBA blêmes.

CVE-2025-8714 : code arbitraire via pg_dump

Martin Rakhmanov, Matthieu Denais et RyotaK ont démontré qu’un super-utilisateur malveillant pouvait insérer des commandes shell directement dans un script de dump. Lors du chargement de ce script sur une autre instance, l’adversaire exécute ce qu’il veut sur le serveur cible. Un rappel que la chaîne de confiance ne doit jamais s’arrêter au premier serveur.

CVE-2025-8715 : injections SQL dans pg_dump

Noah Misch a identifié un défaut de filtrage des sauts de ligne dans les noms d’objets. Résultat : une commande SQL malicieusement formatée peut être injectée lors de la restauration d’une sauvegarde. Vos scripts d’automatisation deviennent alors une porte ouverte.

Quelles versions sont concernées ?

Toutes les versions de PostgreSQL fournies dans les dépôts Ubuntu sont touchées : 12, 13, 14, 15 et 16. Si vous tournez sur un LTS (20.04, 22.04, 24.04) ou sur un interim release, appliquez sudo apt update && sudo apt upgrade sans attendre.

Comment vérifier que vous êtes à jour ?

  1. Mettez à jour votre cache : sudo apt update
  2. Vérifiez les versions disponibles : apt policy postgresql-XX (remplacez XX par votre numéro de version)
  3. Effectuez la montée de version : sudo apt full-upgrade
  4. Relancez le cluster : sudo systemctl restart postgresql

Pensez également à relancer vos sauvegardes après la mise à jour pour vous assurer que le nouveau pg_dump produit des dumps conformes.

Bonnes pratiques bonus

  • Restreignez le rôle SUPERUSER au strict minimum.
  • Chiffrez vos sauvegardes au repos (GPG, Age…).
  • Testez la restauration sur une instance isolée avant de l’effectuer en production.
  • Signalez toute anomalie sur la liste ubuntu-security@lists.ubuntu.com.

Conclusion : ces trois CVE rappellent que même un SGBD réputé robuste a besoin d’une veille active. Appliquez USN-7741-1 dès aujourd’hui et épargnez-vous des maux de tête bien plus coûteux. Cliquez ici pour consulter l’avis de sécurité officiel.

Et vous, gérez-vous vos clusters PostgreSQL en « set it and forget it » ou avec une vraie politique de patchs ? Partagez votre retour d’expérience dans les commentaires !

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe