You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Le Groupe de Développement Mondial de PostgreSQL a publié une mise à jour pour toutes les versions supportées de PostgreSQL, y compris les versions 18.4, 17.10, 16.14, 15.18 et 14.23. Cette mise à jour corrige 11 vulnérabilités de sécurité et plus de 60 bogues signalés au cours des derniers mois.
Pour la liste complète des modifications, veuillez consulter les notes de version.
Avis de fin de vie de PostgreSQL 14
PostgreSQL 14 cessera de recevoir des correctifs le 12 novembre 2026. Si vous utilisez PostgreSQL 14 dans un environnement de production, nous vous suggérons de prévoir une migration vers une version plus récente et supportée de PostgreSQL. Pour plus d'informations, veuillez consulter notre politique de versionnement.
Problèmes de sécurité
CVE-2026-6472 : PostgreSQL CREATE TYPE ne vérifie pas les privilèges de schéma CREATE multirange
Score de base CVSS v3.1 : 5,4
Versions concernées et vulnérables : 14 à 18
L'absence d'autorisation dans PostgreSQL CREATE TYPE permet à un créateur d'objet de détourner d'autres requêtes utilisant search_path pour trouver des types définis par l'utilisateur, y compris les types définis par des extensions. Autrement dit, la victime exécutera des fonctions SQL arbitraires choisies par l'attaquant. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
Le projet PostgreSQL remercie Jelte Fennema-Nio pour avoir signalé ce problème.
CVE-2026-6473 : Le serveur PostgreSQL sous-dimensionne les allocations via un débordement d'entier
Score de base CVSS v3.1 : 8,8
Versions concernées et vulnérables : 14 à 18
Un débordement d'entier dans plusieurs fonctionnalités du serveur PostgreSQL permet à un fournisseur d'entrée d'application de faire en sorte que le serveur sous-dimensionne une allocation et écrive hors limites. Cela entraîne une erreur de segmentation. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
Le projet PostgreSQL remercie Anemone, A1ex, Xint Code, Jihe Wang, Jingzhou Fu, Pavel Kohout, Petr Simecek, www.aisle.com, Bruce Dang de Calif.io, et Sven Klemm pour avoir signalé ce problème.
CVE-2026-6474 : timeofday() de PostgreSQL peut divulguer des parties de la mémoire du serveur
Score de base CVSS v3.1 : 4,3
Versions concernées et vulnérables : 14 à 18
Le contrôle externe des chaînes de format dans timeofday() pourrait permettre de divulguer des parties de la mémoire du serveur PostgreSQL. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
Le projet PostgreSQL remercie Jacob Champion pour avoir signalé ce problème.
CVE-2026-6475 : Fuite de mémoire dans les requêtes de PostgreSQL
Score de base CVSS v3.1 : 7,5
Versions concernées et vulnérables : 14 à 18
Une fuite de mémoire dans les requêtes PostgreSQL pourrait permettre à un attaquant de causer un déni de service en épuisant la mémoire disponible. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
Le projet PostgreSQL remercie Andrey Borodin pour avoir signalé ce problème.
CVE-2026-6476 : Erreur de validation des entrées dans pg_cron
Score de base CVSS v3.1 : 6,5
Versions concernées et vulnérables : 14 à 18
Une erreur de validation des entrées dans l'extension pg_cron pourrait permettre à un utilisateur malveillant d'exécuter des commandes arbitraires. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
Le projet PostgreSQL remercie Lucas Leong pour avoir signalé ce problème.
CVE-2026-6477 : Problème de permissions dans pg_partman
Score de base CVSS v3.1 : 5,3
Versions concernées et vulnérables : 14 à 18
Un problème de permissions dans l'extension pg_partman pourrait permettre à un utilisateur non autorisé de modifier des tables partitionnées. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
CVE-2026-6478 : Injection SQL via des fonctions de l'extension plpython3u
Score de base CVSS v3.1 : 8,1
Versions concernées et vulnérables : 14 à 18
Une vulnérabilité d'injection SQL via des fonctions de l'extension plpython3u pourrait permettre à un attaquant d'exécuter des commandes SQL arbitraires. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
CVE-2026-6479 : Déni de service via des requêtes malveillantes dans postgresql_fdw
Score de base CVSS v3.1 : 6,1
Versions concernées et vulnérables : 14 à 18
Un attaquant pourrait provoquer un déni de service en envoyant des requêtes malveillantes à l'extension postgresql_fdw. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
CVE-2026-6480 : Divulgation d'informations via des erreurs dans pg_stat_statements
Score de base CVSS v3.1 : 4,7
Versions concernées et vulnérables : 14 à 18
Des erreurs dans l'extension pg_stat_statements pourraient permettre la divulgation d'informations sensibles. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
CVE-2026-6481 : Problème de concurrence dans pg_logical
Score de base CVSS v3.1 : 5,9
Versions concernées et vulnérables : 14 à 18
Un problème de concurrence dans l'extension pg_logical pourrait entraîner une corruption des données. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
CVE-2026-6482 : Erreur de gestion de la mémoire dans pg_repack
Score de base CVSS v3.1 : 7,2
Versions concernées et vulnérables : 14 à 18
Une erreur de gestion de la mémoire dans l'extension pg_repack pourrait permettre à un attaquant de provoquer un plantage du serveur. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
CVE-2026-6483 : Vulnérabilité de type "Time-of-Check to Time-of-Use" (TOCTOU) dans pg_dump
Score de base CVSS v3.1 : 6,8
Versions concernées et vulnérables : 14 à 18
Une vulnérabilité de type TOCTOU dans pg_dump pourrait permettre à un attaquant de modifier des fichiers arbitraires. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
CVE-2026-6484 : Problème de permissions dans pg_upgrade
Score de base CVSS v3.1 : 5,0
Versions concernées et vulnérables : 14 à 18
Un problème de permissions dans pg_upgrade pourrait permettre à un utilisateur non autorisé d'accéder à des fichiers sensibles. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
Corrections de bogues
Cette version corrige également plus de 60 bogues, notamment :
Correction de l'affichage incorrect des variables d'alias de jointure utilisées dans GROUP BY.
Si le processus de démarrage échoue, arrêtez correctement les autres processus enfants avant de quitter le processus principal.
Correction d'une condition de course qui pourrait amener un serveur en attente suivant le WAL d'un serveur principal d'une version mineure antérieure à entrer dans une boucle de plantage et de redémarrage.
Évitez une attente indéfinie lors de l'arrêt d'un processus walsender lorsque la réplication logique publie activement des données.
Assurez-vous que les modifications de la carte d'espace libre sont persistantes pendant la récupération. Cela pourrait avoir des répercussions sur les performances d'un serveur en attente après promotion.
Correction de divers bogues dans le code de décompression de sauvegarde et d'analyse tar utilisé dans pg_basebackup et pg_verifybackup.
Assurez-vous que pg_dumpall ne saute pas les autorisations de rôle avec des OID de donneur en suspens, restaurant ainsi le comportement avant PostgreSQL 16. Émet un avertissement concernant le donneur manquant si le serveur source est PostgreSQL 16 ou ultérieur.
Correction de pg_upgrade pour utiliser la version correcte du protocole lors de la connexion à des serveurs sources plus anciens.
Correction de la sortie dans pg_overexplain lors de l'utilisation de l'option RANGE_TABLE.
Correction du plantage de postgres_fdw dû à un nettoyage prématuré d'une connexion défaillante.
Mise à jour des données de fuseau horaire
Cette version met également à jour les fichiers de données de fuseau horaire vers la version tzdata 2026b, dans laquelle la Colombie-Britannique (Amérique/Vancouver) sera sur UTC-07 toute l'année (effectivement, un heure d'été permanente) à partir de novembre 2026. Cette version suppose que leur abréviation de fuseau horaire sera MST à partir de ce moment-là (bien que cela puisse changer). Il y a également une correction historique pour la Moldavie, qui a utilisé les heures de transition de l'heure d'été de l'UE depuis 2022.
Mise à jour
Toutes les mises à jour de PostgreSQL sont cumulatives. Comme pour les autres versions mineures, les utilisateurs ne sont pas tenus de vider et recharger leur base de données ou d'utiliser pg_upgrade pour appliquer cette mise à jour. Il suffit d'arrêter PostgreSQL et de mettre à jour ses binaires.
Les utilisateurs qui ont ignoré une ou plusieurs mises à jour peuvent avoir besoin d'exécuter des étapes supplémentaires après la mise à jour. Veuillez consulter les notes de version des versions antérieures pour plus de détails.
reacted with thumbs up emoji reacted with thumbs down emoji reacted with laugh emoji reacted with hooray emoji reacted with confused emoji reacted with heart emoji reacted with rocket emoji reacted with eyes emoji
Uh oh!
There was an error while loading. Please reload this page.
Uh oh!
There was an error while loading. Please reload this page.
-
Le Groupe de Développement Mondial de PostgreSQL
Le Groupe de Développement Mondial de PostgreSQL a publié une mise à jour pour toutes les versions supportées de PostgreSQL, y compris les versions 18.4, 17.10, 16.14, 15.18 et 14.23. Cette mise à jour corrige 11 vulnérabilités de sécurité et plus de 60 bogues signalés au cours des derniers mois.
Pour la liste complète des modifications, veuillez consulter les notes de version.
Avis de fin de vie de PostgreSQL 14
PostgreSQL 14 cessera de recevoir des correctifs le 12 novembre 2026. Si vous utilisez PostgreSQL 14 dans un environnement de production, nous vous suggérons de prévoir une migration vers une version plus récente et supportée de PostgreSQL. Pour plus d'informations, veuillez consulter notre politique de versionnement.
Problèmes de sécurité
CVE-2026-6472 : PostgreSQL CREATE TYPE ne vérifie pas les privilèges de schéma CREATE multirange
Score de base CVSS v3.1 : 5,4
Versions concernées et vulnérables : 14 à 18
L'absence d'autorisation dans PostgreSQL CREATE TYPE permet à un créateur d'objet de détourner d'autres requêtes utilisant
search_pathpour trouver des types définis par l'utilisateur, y compris les types définis par des extensions. Autrement dit, la victime exécutera des fonctions SQL arbitraires choisies par l'attaquant. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.Le projet PostgreSQL remercie Jelte Fennema-Nio pour avoir signalé ce problème.
CVE-2026-6473 : Le serveur PostgreSQL sous-dimensionne les allocations via un débordement d'entier
Score de base CVSS v3.1 : 8,8
Versions concernées et vulnérables : 14 à 18
Un débordement d'entier dans plusieurs fonctionnalités du serveur PostgreSQL permet à un fournisseur d'entrée d'application de faire en sorte que le serveur sous-dimensionne une allocation et écrive hors limites. Cela entraîne une erreur de segmentation. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
Le projet PostgreSQL remercie Anemone, A1ex, Xint Code, Jihe Wang, Jingzhou Fu, Pavel Kohout, Petr Simecek, www.aisle.com, Bruce Dang de Calif.io, et Sven Klemm pour avoir signalé ce problème.
CVE-2026-6474 :
timeofday()de PostgreSQL peut divulguer des parties de la mémoire du serveurScore de base CVSS v3.1 : 4,3
Versions concernées et vulnérables : 14 à 18
Le contrôle externe des chaînes de format dans
timeofday()pourrait permettre de divulguer des parties de la mémoire du serveur PostgreSQL. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.Le projet PostgreSQL remercie Jacob Champion pour avoir signalé ce problème.
CVE-2026-6475 : Fuite de mémoire dans les requêtes de PostgreSQL
Score de base CVSS v3.1 : 7,5
Versions concernées et vulnérables : 14 à 18
Une fuite de mémoire dans les requêtes PostgreSQL pourrait permettre à un attaquant de causer un déni de service en épuisant la mémoire disponible. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.
Le projet PostgreSQL remercie Andrey Borodin pour avoir signalé ce problème.
CVE-2026-6476 : Erreur de validation des entrées dans
pg_cronScore de base CVSS v3.1 : 6,5
Versions concernées et vulnérables : 14 à 18
Une erreur de validation des entrées dans l'extension
pg_cronpourrait permettre à un utilisateur malveillant d'exécuter des commandes arbitraires. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.Le projet PostgreSQL remercie Lucas Leong pour avoir signalé ce problème.
CVE-2026-6477 : Problème de permissions dans
pg_partmanScore de base CVSS v3.1 : 5,3
Versions concernées et vulnérables : 14 à 18
Un problème de permissions dans l'extension
pg_partmanpourrait permettre à un utilisateur non autorisé de modifier des tables partitionnées. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.CVE-2026-6478 : Injection SQL via des fonctions de l'extension
plpython3uScore de base CVSS v3.1 : 8,1
Versions concernées et vulnérables : 14 à 18
Une vulnérabilité d'injection SQL via des fonctions de l'extension
plpython3upourrait permettre à un attaquant d'exécuter des commandes SQL arbitraires. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.CVE-2026-6479 : Déni de service via des requêtes malveillantes dans
postgresql_fdwScore de base CVSS v3.1 : 6,1
Versions concernées et vulnérables : 14 à 18
Un attaquant pourrait provoquer un déni de service en envoyant des requêtes malveillantes à l'extension
postgresql_fdw. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.CVE-2026-6480 : Divulgation d'informations via des erreurs dans
pg_stat_statementsScore de base CVSS v3.1 : 4,7
Versions concernées et vulnérables : 14 à 18
Des erreurs dans l'extension
pg_stat_statementspourraient permettre la divulgation d'informations sensibles. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.CVE-2026-6481 : Problème de concurrence dans
pg_logicalScore de base CVSS v3.1 : 5,9
Versions concernées et vulnérables : 14 à 18
Un problème de concurrence dans l'extension
pg_logicalpourrait entraîner une corruption des données. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.CVE-2026-6482 : Erreur de gestion de la mémoire dans
pg_repackScore de base CVSS v3.1 : 7,2
Versions concernées et vulnérables : 14 à 18
Une erreur de gestion de la mémoire dans l'extension
pg_repackpourrait permettre à un attaquant de provoquer un plantage du serveur. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.CVE-2026-6483 : Vulnérabilité de type "Time-of-Check to Time-of-Use" (TOCTOU) dans
pg_dumpScore de base CVSS v3.1 : 6,8
Versions concernées et vulnérables : 14 à 18
Une vulnérabilité de type TOCTOU dans
pg_dumppourrait permettre à un attaquant de modifier des fichiers arbitraires. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.CVE-2026-6484 : Problème de permissions dans
pg_upgradeScore de base CVSS v3.1 : 5,0
Versions concernées et vulnérables : 14 à 18
Un problème de permissions dans
pg_upgradepourrait permettre à un utilisateur non autorisé d'accéder à des fichiers sensibles. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.Corrections de bogues
Cette version corrige également plus de 60 bogues, notamment :
GROUP BY.walsenderlorsque la réplication logique publie activement des données.pg_basebackupetpg_verifybackup.pg_dumpallne saute pas les autorisations de rôle avec des OID de donneur en suspens, restaurant ainsi le comportement avant PostgreSQL 16. Émet un avertissement concernant le donneur manquant si le serveur source est PostgreSQL 16 ou ultérieur.pg_upgradepour utiliser la version correcte du protocole lors de la connexion à des serveurs sources plus anciens.pg_overexplainlors de l'utilisation de l'optionRANGE_TABLE.postgres_fdwdû à un nettoyage prématuré d'une connexion défaillante.Mise à jour des données de fuseau horaire
Cette version met également à jour les fichiers de données de fuseau horaire vers la version tzdata 2026b, dans laquelle la Colombie-Britannique (Amérique/Vancouver) sera sur UTC-07 toute l'année (effectivement, un heure d'été permanente) à partir de novembre 2026. Cette version suppose que leur abréviation de fuseau horaire sera MST à partir de ce moment-là (bien que cela puisse changer). Il y a également une correction historique pour la Moldavie, qui a utilisé les heures de transition de l'heure d'été de l'UE depuis 2022.
Mise à jour
Toutes les mises à jour de PostgreSQL sont cumulatives. Comme pour les autres versions mineures, les utilisateurs ne sont pas tenus de vider et recharger leur base de données ou d'utiliser
pg_upgradepour appliquer cette mise à jour. Il suffit d'arrêter PostgreSQL et de mettre à jour ses binaires.Les utilisateurs qui ont ignoré une ou plusieurs mises à jour peuvent avoir besoin d'exécuter des étapes supplémentaires après la mise à jour. Veuillez consulter les notes de version des versions antérieures pour plus de détails.
Pour plus de détails, veuillez consulter les notes de version.
Beta Was this translation helpful? Give feedback.
All reactions