Risque
- Contournement de la politique de sécurité ;
- exécution locale de code arbitraire avec les droits du serveur PostgreSQL.
Systèmes affectés
- Pour la branche 7.2.x, PostgreSQL versions 7.2.6 et antérieures ;
- pour la branche 7.3.x, PostgreSQL versions 7.3.8 et antérieures ;
- pour la branche 7.4.x, PostgreSQL versions 7.4.6 et antérieures ;
- pour la branche 8.0.x, PostgreSQL versions 8.0.0 et antérieures.
Description
PostgreSQL est un outil de base de données Open Source.Plusieurs vulnérabilités permettent à un utilisateur mal intentionné de contourner les vérifications de sécurité ou d'exécuter du code arbitraire, en local, avec les droits du serveur PostgreSQL.
Solution
Dans tous les cas, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Mettre à jour PostgreSQL en versions 8.0.1, 7.4.7, 7.3.9 ou 7.2.7.
PostgreSQL est téléchargeable à l'adresse suivante :
http://wwwmaster.postgresql.org/download/mirror-ftp/
Documentation
- Site Internet de PostgreSQL :
http://www.postgresql.org
- Annonce de la vulnérabilité :
http://archives.postgresql.org/pgsql-bugs/2005-01/msg00269.php
- Annonce des nouvelles versions de PostgreSQL corrigeant la vulnérabilité :
http://archives.postgresql.org/pgsql-announce/2005-02/msg00000.php
- Bulletin de sécurité Debian DSA-668 du 04 février 2005 :
http://www.debian.org/security/2005/dsa-668
- Bulletin de sécurité Debian DSA-683 du 15 février 2005 :
http://www.debian.org/security/2005/dsa-683
- Bulletin de sécurité Gentoo GLSA 200502-08 du 07 février 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200502-08.xml
- Bulletin de sécurité Gentoo GLSA 200502-19 du 14 février 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200502-19.xml
- Bulletin de sécurité OpenBSD pour postgresql-server du 05 février 2005 :
http://www.vuxml.org/openbsd/
- Bulletin de sécurité FreeBSD pour ja-postgresql, postgresql, postgresql-server et postgresql-devel du 08 février 2005 :
http://www.vuxml.org/freebsd/
- Bulletin de sécurité FreeBSD pour ja-postgresql, postgresql et postgresql-server du 17 février 2005 :
http://www.vuxml.org/freebsd/
- Mise à jour de sécurité des paquetages NetBSD postgresql73, postgresql74 et postgresql80 :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/databases/postgresql73/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/databases/postgresql74/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/databases/postgresql80/
- Bulletin de sécurité RedHat RHSA-2005:138 du 15 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-138.html
- Bulletin de sécurité RedHat RHSA-2005:141 du 14 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-141.html
- Bulletin de sécurité RedHat RHSA-2005:150 du 16 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-150.html
- Bulletin de sécurité Mandrake MDKSA-2005:040 du 17 février 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:040
- Mise à jour de sécurité Fedora Core 2 pour PostgreSQL :
http://download.fedora.redhat.com/pub/fedora/linux/core/updates/2/
- Mise à jour de sécurité Fedora Core 3 pour PostgreSQL :
http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
- Bulletin de sécurité SUSE SUSE-SA:2005:027 du 20 avril 2005 :
http://www.novell.com/linux/security/advisories/2005_27_postgresql.html
- Référence CVE CAN-2005-0227 :
https://www.cve.org/CVERecord?id=CAN-2005-0227
- Référence CVE CAN-2005-0244 :
https://www.cve.org/CVERecord?id=CAN-2005-0244
- Référence CVE CAN-2005-0245 :
https://www.cve.org/CVERecord?id=CAN-2005-0245
- Référence CVE CAN-2005-0246 :
https://www.cve.org/CVERecord?id=CAN-2005-0246
- Référence CVE CAN-2005-0247 :
https://www.cve.org/CVERecord?id=CAN-2005-0247
