Vigil@nce - PostgreSQL : multiples vulnérabilités
mars 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de PostgreSQL.
Produits concernés : Debian, Fedora, PostgreSQL, RHEL, Ubuntu
Gravité : 2/4
Date création : 20/02/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans PostgreSQL.
Un attaquant ayant obtenu un rôle via SET ROLE, peut révoquer
l’accès des autres membres. [grav:2/4 ; BID-65723, CVE-2014-0060]
Un attaquant peut employer une fonction validator, afin d’élever
ses privilèges. [grav:2/4 ; BID-65724, CVE-2014-0061]
Un attaquant peut employer CREATE INDEX, afin d’élever ses
privilèges. [grav:2/4 ; BID-65727, CVE-2014-0062]
Un attaquant peut provoquer un buffer overflow via une date trop
longue, afin de mener un déni de service, et éventuellement
d’exécuter du code. [grav:2/4 ; BID-65719, CVE-2014-0063]
Un attaquant peut provoquer un buffer overflow, afin de mener un
déni de service, et éventuellement d’exécuter du code. [grav:2/4 ;
BID-65731, CVE-2014-0065]
Un attaquant peut déréférencer un pointeur NULL via crypt(), afin
de mener un déni de service. [grav:1/4 ; BID-65728, CVE-2014-0066]
Un attaquant peut provoquer un débordement d’entier dans
path_in(), afin de mener un déni de service, et éventuellement
d’exécuter du code. [grav:2/4 ; BID-65725, CVE-2014-0064]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/PostgreSQL-multiples-vulnerabilites-14289