Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : Déni de service et élévation de privilèges dans PostgreSQL

janvier 2008 par HSC

Date : 21-01-2008

Criticité HSC : 3/5 - moyenne

Exploitation : Indisponible

Résumé : PostgreSQL contient plusieurs vulnérabilités, permettant soit un déni de service, soit l’élévation de privilèges.

Source : PostgreSQL

Objet : PostgreSQL

Description :

La fonctionnalité "expression indexes" est exécutée avec les droits du super-utilisateur lors des appels aux commandes "VACUUM" et "ANALYZE". De plus, les commandes SET ROLE et SET SESSION AUTHORIZATION sont autorisées dans ces fonctions (CVE-2007-6600). Ces commandes peuvent être utilisées pour élever ses privilèges.

Plusieurs erreurs lors du traitement d’expressions régulières complexes dans les requêtes SQL permettent des dénis de service par arrêt du serveur, consommation de CPU (boucle infinie), ou épuisement de la mémoire (CVE-2007-4772, CVE-2007-6067, CVE-2007-4769).

Le module DBLink contient des erreurs non détaillées permettant d’obtenir les privilèges de super-utilisateur sous certaines conditions (CVE-2007-6601).




Voir les articles précédents

    

Voir les articles suivants