Vigil@nce : PostgreSQL, deux vulnérabilités
décembre 2009 par Vigil@nce
Un attaquant peut employer deux vulnérabilités de PostgreSQL, afin
d’accéder aux données d’un utilisateur.
– Gravité : 2/4
– Conséquences : accès/droits utilisateur, lecture de données,
création/modification de données
– Provenance : compte utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 2
– Date création : 15/12/2009
PRODUITS CONCERNÉS
– Fedora
– Mandriva Corporate
– Mandriva Enterprise Server
– Mandriva Linux
– PostgreSQL
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans PostgreSQL.
Lorsqu’un certificat SSL est utilisé, un attaquant peut présenter
un certificat X.509 avec un champ contenant un caractère nul, afin
de contourner les restrictions d’accès. [grav:2/4 ; BID-37334,
CVE-2009-4034]
Un attaquant local peut employer une fonction d’index, afin
d’élever ses privilèges. [grav:2/4 ; BID-37333, CVE-2009-4136]
CARACTÉRISTIQUES
– Références : BID-37333, BID-37334, CVE-2009-4034, CVE-2009-4136,
FEDORA-2009-13363, FEDORA-2009-13381, MDVSA-2009:333,
VIGILANCE-VUL-9285
– Url : http://vigilance.fr/vulnerabilite/PostgreSQL-deux-vulnerabilites-9285