Alerte sécurité : trois failles critiques dans PostgreSQL corrigées (USN-7741-1)

Ubuntu vient de publier un avis de sécurité USN-7741-1 détaillant trois vulnérabilités classées « importantes » dans PostgreSQL. Si vos serveurs tournent sous cette base de données open-source, il est temps de planifier une mise à jour : ces failles touchent aussi bien la confidentialité des données que l’intégrité du système.

CVE-2025-8713 : fuites d’information via les listes de contrôle d’accès

Dean Rasheed a mis en évidence un défaut de vérification des ACL (Access Control Lists). Un attaquant disposant d’un accès réseau peut contourner certaines restrictions et consulter des données sensibles sans détention explicite des privilèges. Autrement dit, même un utilisateur peu privilégié peut potentiellement lire destables ou des colonnes censées être protégées.

CVE-2025-8714 : exécution de code arbitraire dans pg_dump

Martin Rakhmanov, Matthieu Denais et RyotaK ont découvert que pg_dump acceptait des données non dignes de confiance lors de l’export d’une base. Un super-utilisateur malveillant peut insérer des instructions malicieuses dans le script de sauvegarde. Lors du reload de ce dump sur un autre serveur, le code hostile s’exécute avec les droits de l’opérateur PostgreSQL, ouvrant la porte à une compromission totale du serveur cible.

CVE-2025-8715 : injection SQL via des sauts de ligne dans les noms d’objets

Noah Misch a, de son côté, identifié un problème de filtrage des caractères de retour à la ligne dans les noms d’objets (tables, colonnes, index…). En créant délibérément des identifiants contenant des séquences , un attaquant peut injecter des commandes SQL supplémentaires qui seront exécutées à la restauration du dump.

Ce que vous devez faire dès maintenant

• Mettez à jour PostgreSQL vers la version corrigée proposée dans les dépôts officiels d’Ubuntu (focal, jammy, noble, etc.).
• Renforcez la politique de moindre privilège : supprimez les rôles super-utilisateur inutiles et surveillez les dumps importés.
• Auditez vos scripts de sauvegarde et restauration ; vérifiez leur provenance avant de les exécuter.
• Testez en pré-production pour éviter toute régression après l’application du patch.

Les correctifs sont déjà disponibles via apt. Un simple :

sudo apt update && sudo apt upgrade postgresql-common postgresql-14 postgresql-15

permet d’éliminer les trois CVE. N’attendez pas : à chaque minute de retard, votre système reste potentiellement exposé.

Conclusion : ces trois vulnérabilités rappellent qu’une base de données n’est jamais « à l’abri » par défaut. Entre gestion fine des privilèges, contrôle des dumps et veille continue, la sécurité reste un processus. Consultez l’avis USN-7741-1 pour les versions précises, les liens de téléchargement et les instructions détaillées.

Quelle est votre procédure de mise à jour ? Partagez vos astuces ou questions dans les commentaires ci-dessous !