Risque
Atteinte à l'intégrité des données.
Systèmes affectés
PostgreSQL 7.4.5-r1 et versions antérieures.
Résumé
Une vulnérabilité découverte dans PostgreSQL permet à un utilisateur local, mal intentionné, de porter atteinte à l'intégrité des données présentes sur le système.
Description
PostgreSQL est un outil de base de données Open Source. Une vulnérabilité présente dans le script make_oidjoins_check permet à un utilisateur mal intentionné, ayant un accès local au système, de forcer la modification de fichiers avec les droits d'un autre utilisateur au moyen de liens symboliques habilement constitués.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation)
Documentation
- Annonce de sécurité PostgreSQL du 23 octobre 2004 :
http://www.postgresql.org/news/234.html
- Bulletin de sécurité Gentoo GLSA-200410-16 du 18 octobre 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200410-16.xml
- Bulletin de sécurité Debian DSA-577 du 29 octobre 2004 :
http://www.debian.org/security/2004/dsa-577
- Bulletin de sécurité Mandrake MDKSA-2004:149 du 13 décembre 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:149
- Bulletin de sécurité FreeBSD pour postgresql-contrib du 06 novembre 2004 :
http://www.vuxml.org/freebsd/
- Bulletin de sécurité Red Hat RHSA-2004:489 du 20 décembre 2004 :
http://rhn.redhat.com/errata/RHSA-2004-489.html
- Référence CVE CAN-2004-0977 :
https://www.cve.org/CVERecord?id=CAN-2004-0977
