Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un serveur PostgreSQL illicite peut provoquer une attaque par
format dans ses clients utilisant le module Perl DBD-Pg.

Gravité : 1/4

Date création : 09/03/2012

PRODUITS CONCERNÉS

– Debian Linux
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le module DBD-Pg permet aux applications Perl d’accéder aux
données situées sur un serveur PostgreSQL.

La fonction pg_warn() génère un message d’avertissement à partir
des données retournées le serveur. Cependant, elle appelle la
fonction warn() sans utiliser de paramètre de formatage. [grav:1/4]

La fonction dbd_st_prepare() prépare une requête à partir des
données retournées le serveur. Cependant, elle appelle la fonction
croak() sans utiliser de paramètre de formatage. [grav:1/4]

Un serveur PostgreSQL illicite peut donc provoquer une attaque par
format dans ses clients utilisant le module Perl DBD-Pg.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Perl-attaque-par-format-via-DBD-Pg-11414