Une mise à jour de sécurité vient d'être livrée pour la base de données PostgreSQL par le groupe de développement du projet Open Source. Elle concerne toutes les branches actives du produit (*) et vient corriger des failles associées à libxml2  et libxslt, deux bibliothèques en C  pour l'analyse syntaxique de documents XML et la mise en oeuvre de XSLT 1.0 (Extensible Stylesheet Language Transformations).

La mise à jour corrige une vulnérabilité dans la fonction XML intégrée et une dans la fonctionnalité XSLT de l'extension optionnelle XML2. Toutes deux autorisent la lecture de fichiers arbitraires par un utilisateur non authentifié. Celle touchant XSLT permet aussi l'écriture de fichiers.


Une vingtaine d'autres corrections

« Les utilisateurs qui stockent et traitent des données XML avec PostgreSQL doivent donc mettre à jour leur système rapidement », avertit dans un communiqué la société française Dalibo, spécialisée dans le support sur PostgreSQL. Lors du prochain arrêt de maintenance opéré par les administrateurs de la base. Dalibo prévient aussi, à la suite de PostgreSQL.org, que l'application du patch posera quelques problèmes de compatibilité ascendante pour les fonctions XML, notamment sur xslt_process() et qu'il faudra procéder à des tests applicatifs avant la mise à jour.

Le patch contient par ailleurs une vingtaine d'autres corrections pour la version 9.1 de PostgreSQL et pour quelques autres versions plus anciennes. Les sites de Postgresql.org et Dalibo en fournissent le détail. On y trouve par exemple la correction de la gestion des fuseaux horaires et d'un bug de copie mémoire dans to_tsquery.