Risque
Exécution de code arbitraire.
Systèmes affectés
PostgreSQL versions 7.2.1 et antérieures.
Résumé
Plusieurs vulnérabilités sur PostgreSQL permettent à un utilisateur mal intentionné d'exécuter du code arbitraire.
Description
PostgreSQL est un gestionnaire de bases de données relationnelles.
Des vulnérabilités de type débordement de mémoire, découvertes dans plusieurs fonctions, permettent à un utilisateur mal intentionné d'exécuter du code arbitraire.
L'utilisateur doit pouvoir se connecter à l'une des bases pour exploiter ces vulnérabilités.
Contournement provisoire
Pour limiter l'impact des vulnérabilités, vous pouvez :
- bloquer le port sur lequel le serveur PostgreSQL est en écoute (5432/tcp par défaut) au niveau des pare-feux afin d'empêcher l'exploitation de ces vulnérabilités depuis l'Internet ;
- ne pas accepter les connexions non authentifiées (trust authentication) à la base de données.
Editez pour cela le fichier pg_hba.conf.
Solution
La version 7.2.2 corrige ces vulnérabilités.
Documentation
Avis de PostgreSQL :
http://www.fr.postgresql.org/news.html
Avis de sécurité Debian DSA 165-1 :
http://www.debian.org/security/2002/DSA-165