Vigil@nce : PostgreSQL, trois vulnérabilités
septembre 2009 par Vigil@nce
Trois vulnérabilités de PostgreSQL permettent à un attaquant de
mener un déni de service, d’élever ses privilèges, ou d’accéder au
service.
– Gravité : 2/4
– Conséquences : accès/droits utilisateur, déni de service du service
– Provenance : client internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 3
– Date création : 09/09/2009
PRODUITS CONCERNÉS
– Fedora
– PostgreSQL
DESCRIPTION DE LA VULNÉRABILITÉ
Trois vulnérabilités de PostgreSQL permettent à un attaquant de
mener un déni de service, d’élever ses privilèges, ou d’accéder au
service.
Un attaquant authentifié peut recharger des bibliothèques situées
sous $libdir/plugins, afin de stopper le service. [grav:1/4]
Un attaquant authentifié peut employer RESET SESSION
AUTHORIZATION, afin d’exécuter des requêtes avec les privilèges
d’un autre utilisateur. [grav:2/4]
Lorsque PostgreSQL utilise une configuration LDAP autorisant les
binds anonymes, un attaquant peut s’authentifier avec un mot de
passe vide. [grav:2/4]
CARACTÉRISTIQUES
– Références : BID-36314, FEDORA-2009-9473, FEDORA-2009-9474,
VIGILANCE-VUL-9015
– Url : http://vigilance.fr/vulnerabilite/PostgreSQL-trois-vulnerabilites-9015