Deux failles dans les fonctions XML de PostgreSQL
lun, 20/08/2012 - 13:26
Le groupe de développement de PostgreSQL vient de mettre à disposition une version corrective pour toutes les branches actives du projet. Cette mise à jour est mineure dans le sens où elle n'apporte pas de changements fonctionnels. Cela signifie qu'il ne sera pas nécessaire de sauvegarder vos bases de données avant d'appliquer ce correctif.
Cette mise à jour corrige deux failles découvertes récemment dans les librairies libxml2 et libxslt.
« Ce correctif pour PostgreSQL touche avant tout les utilisateurs qui exploitent les fonctionnalités XML du moteur de base de données » déclare Guillaume Lelarge, Directeur Technique de DALIBO spécialiste français de PostgreSQL, « Sous certaines conditions particulières, ces deux vulnérabilités permettent la lecture et l'écriture de fichiers par n'importe quel utilisateur authentifié par la base de données. »
Les utilisateurs qui stockent et traitent des données XML avec PostgreSQL doivent donc mettre à jour leur système rapidement.
Il est important de noter que ce correctif pose quelques problèmes de compatibilité ascendante pour les fonctions XML, en particulier la fonction xslt_process(). Dans ce cas, des tests applicatifs doivent être conduits avant la mise à jour.
Les mises à jour de PostgreSQL pour votre système sont accessibles à http://www.postgresql.org/download/