PostgreSQL est l’un des Systèmes de Gestion de Base de Données open source le plus utilisé dans le monde aussi bien dans le milieu professionnel que dans le monde éducatif, pour les grandes entreprises ainsi que les petites entreprises.
Son caractère OpenSource permet à tout développeur qui en a la capacité de l’utiliser, le modifier et le distribuer librement sans aucune contrainte légale.
Son adaptabilité à tous types d’applications fait qu’il est utilisé dans les domaines suivants :
- Applications web : Pour stocker les données des utilisateurs, les produits, les commandes, etc.
- Applications mobiles : Pour synchroniser les données entre différents appareils.
- Analyses de données : Pour stocker et analyser de grandes quantités de données.
- Internet des objets (IoT) : Pour collecter et stocker les données des capteurs.
- Applications scientifiques : Pour gérer des données expérimentales.
Que se passe t’il donc avec ce couteau suisse des bases de données ?
Tal Peleg et Coby Abrams, chercheurs en cybersécurité chez Varonis, ont découvert une vulnérabilité de haute gravité dans le système de base de données open-source largement utilisé. Cette vulnérabilité, répertoriée sous le nom de CVE-2024-10979, pourrait compromettre la sécurité d’innombrables bases de données dans le monde entier.
Elle permet à des utilisateurs non privilégiés de manipuler des variables d’environnement dans l’extension PL/Perl de PostgreSQL. Pour information, l’extension PL/Perl est un outil qui permet d’écrire des fonctions de base de données dans le langage de programmation Perl. Un attaquant pourrait exploiter une faiblesse dans cette interaction pour manipuler les variables d’environnement sur le serveur qui exécute la base de données.
Comment mitiger cette menace ?
Les stratégies d’atténuation comprennent la mise à jour immédiate de votre installation PostgreSQL vers les versions 17.1, 16.5, 15.9, 14.14, 13.17, ou 12.21. Ces versions mises à jour contiennent le correctif pour cette vulnérabilité.
Il est fortement recommandé de mettre à jour PostgreSQL vers la dernière version mineure et de restreindre les extensions autorisées. Ceci inclut de limiter les permissions CREATE EXTENSIONS à des extensions spécifiques et de définir le paramètre de configuration shared_preload_libraries pour ne charger que celles qui sont nécessaires. La description complète de la correction est disponible ici.
En outre, limitez les extensions que les utilisateurs peuvent installer dans votre base de données afin d’empêcher les attaquants d’exploiter les vulnérabilités et accordez aux utilisateurs le moins de privilèges possible afin de minimiser les dommages.