Risque
- Exécution de code arbitraire
Systèmes affectés
PostgreSQL versions 7.2.1 et antérieures.
Résumé
Plusieurs vulnérabilités sur PostgreSQL permettent à un utilisateur mal intentionné d'exécuter du code arbitraire.
Description
PostgreSQL est un gestionnaire de bases de données relationnelles.
Des vulnérabilités de type débordement de mémoire, découvertes dans plusieurs fonctions, permettent à un utilisateur mal intentionné d'exécuter du code arbitraire.
L'utilisateur doit pouvoir se connecter à l'une des bases pour exploiter ces vulnérabilités.
Contournement provisoire
Pour limiter l'impact des vulnérabilités, vous pouvez :
-
bloquer le port sur lequel le serveur PostgreSQL est en écoute (5432/tcp par défaut) au niveau des pare-feux afin d'empêcher l'exploitation de ces vulnérabilités depuis l'Internet ;
-
ne pas accepter les connexions non authentifiées (trust authentication) à la base de données.
Editez pour cela le fichier pg_hba.conf.
Solution
La version 7.2.2 corrige ces vulnérabilités.
Documentation
- Avis de PostgreSQL : http://www.fr.postgresql.org/news.html