– Gravité : 2/4
– Conséquences : accès/droits utilisateur, lecture de données,
création/modification de données
– Provenance : compte utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 2
– Date création : 15/12/2009

PRODUITS CONCERNÉS

– Fedora
– Mandriva Corporate
– Mandriva Enterprise Server
– Mandriva Linux
– PostgreSQL

DESCRIPTION DE LA VULNÉRABILITÉ

Deux vulnérabilités ont été annoncées dans PostgreSQL.

Lorsqu’un certificat SSL est utilisé, un attaquant peut présenter
un certificat X.509 avec un champ contenant un caractère nul, afin
de contourner les restrictions d’accès. [grav:2/4 ; BID-37334,
CVE-2009-4034]

Un attaquant local peut employer une fonction d’index, afin
d’élever ses privilèges. [grav:2/4 ; BID-37333, CVE-2009-4136]

CARACTÉRISTIQUES

– Références : BID-37333, BID-37334, CVE-2009-4034, CVE-2009-4136,
FEDORA-2009-13363, FEDORA-2009-13381, MDVSA-2009:333,
VIGILANCE-VUL-9285
– Url : http://vigilance.fr/vulnerabilite/PostgreSQL-deux-vulnerabilites-9285