Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTA : Vulnérabilités dans PostgreSQL

janvier 2008 par CERTA

1 Risque

* Déni de service ;
* élévation de privilèges.

2 Systèmes affectés

PostgreSQL versions 7.3, 7.4, 8.0, 8.1 et 8.2.

3 Résumé

Des vulnérabilités dans PostgreSQL permettent de réaliser un déni de service ou une élévation de privilèges.

4 Description

Plusieurs vulnérabilités ont été découvertes dans PostgreSQL :

* une des fonctionnalités de PostgreSQL permet de créer une indexation des résultats de fonctions définies par l’utilisateur. Des vulnérabilités dans les fonctions d’indexation permettent d’élever les privilèges de l’utilisateur (CVE-2007-6600) ;
* des problèmes ont été découverts dans les bibliothèques permettant le traitement des expressions régulières par PostgreSQL. Un utilisateur malintentionné peut, par le biais d’expressions régulières spécifiques, réaliser un déni de service (CVE-2007-4769, CVE-2007-4772 et CVE-2007-6067)  ;
* une vulnérabilité dans les fonctions DBLink permet l’élévation des privilèges (CVE-2007-6601).

5 Solution

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

6 Documentation

* Bulletin de sécurité PostgreSQL du 06 janvier 2008 :

http://www.postgresql.org/about/news.905

* Référence CVE CVE-2007-4769 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4769

* Référence CVE CVE-2007-4772 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4772

* Référence CVE CVE-2007-6067 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6067

* Référence CVE CVE-2007-6600 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6600

* Référence CVE CVE-2007-6601 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6601




Voir les articles précédents

    

Voir les articles suivants