S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 août 2002
N° CERTA-2002-AVI-192-001
Affaire suivie par: CERT-FR
le 27 août 2002

Avis du CERT-FR

Objet: Vulnérabilités de PostgreSQL

Gestion du document

Référence CERTA-2002-AVI-192-001
Titre Vulnérabilités de PostgreSQL
Date de la première version 27 août 2002
Date de la dernière version 13 septembre 2002
Source(s) -
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire.

Systèmes affectés

PostgreSQL versions 7.2.1 et antérieures.

Résumé

Plusieurs vulnérabilités sur PostgreSQL permettent à un utilisateur mal intentionné d'exécuter du code arbitraire.

Description

PostgreSQL est un gestionnaire de bases de données relationnelles.

Des vulnérabilités de type débordement de mémoire, découvertes dans plusieurs fonctions, permettent à un utilisateur mal intentionné d'exécuter du code arbitraire.

L'utilisateur doit pouvoir se connecter à l'une des bases pour exploiter ces vulnérabilités.

Contournement provisoire

Pour limiter l'impact des vulnérabilités, vous pouvez :

  • bloquer le port sur lequel le serveur PostgreSQL est en écoute (5432/tcp par défaut) au niveau des pare-feux afin d'empêcher l'exploitation de ces vulnérabilités depuis l'Internet ;
  • ne pas accepter les connexions non authentifiées (trust authentication) à la base de données.

    Editez pour cela le fichier pg_hba.conf.

Solution

La version 7.2.2 corrige ces vulnérabilités.

Documentation

Avis de PostgreSQL :

http://www.fr.postgresql.org/news.html

Avis de sécurité Debian DSA 165-1 :

http://www.debian.org/security/2002/DSA-165

Gestion détaillée du document

    le 27 août 2002
    version initiale ;
    le 13 septembre 2002
    première révision : ajout de l'avis Debian.