PostgreSQL 16.2 corrige une faille de sécurité

Par:
fredericmazue

ven, 09/02/2024 - 11:37

Le PostgreSQL Global Development Group a publié une mise à jour pour toutes les versions prises en charge de PostgreSQL, notamment 16.2, 15.6, 14.11, 13.14 et 12.18. Cette version corrige une vulnérabilité de sécurité et plus de 65 bogues signalés au cours des derniers mois. Si vous utilisez des index GIN, vous devrez peut-être les réindexer après la mise à jour vers cette version. Veuillez consulter les notes de version pour plus d'informations.

La faille corrigée est estampillée CVE-2024-0985 : Ce bulletin de sécurité nous apprend que l'actualisation de la vue matérialisée non propriétaire de PostgreSQL exécute simultanément du SQL arbitraire. Supposons qu'une étape d’une commande d’actualisation simultanée a été exécutée avec de faibles restrictions de sécurité. Si le propriétaire d'une vue matérialisée pouvait persuader un superutilisateur ou un autre utilisateur disposant de privilèges élevés d'effectuer une actualisation simultanée sur cette vue, le propriétaire de la vue pourrait contrôler le code exécuté avec les privilèges de l'utilisateur exécutant REFRESH. Le correctif apporté à la vulnérabilité consiste à ce que tout le code déterminé par l'utilisateur soit exécuté en tant que propriétaire de la vue, comme prévu.

Cette mise à jour corrige au total plus de 65 bugs signalés au cours des derniers mois.

La liste complète des correctifs est donnée dans la note de version de PostgreSQL 16.2.