Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • La version PostgreSQL 7.3.14 et les versions 7.3.x antérieures ;
  • la version PostgreSQL 7.4.12 et les versions 7.4.x antérieures ;
  • la version PostgreSQL 8.0.7 et les versions 8.0.x antérieures ;
  • la version PostgreSQL 8.1.3 et les versions 8.1.x antérieures.

Résumé

Deux vulnérabilités ont été identifiées dans PostgreSQL. Elles peuvent être utilisées par une personne malveillante pour injecter des requêtes SQL, afin d'accéder ou modifier les données inclues dans la base, et ainsi contourner la politique de sécurité.

Description

PostgreSQL est un système de gestion de bases de données (DBMS). Deux vulnérabilités ont été identifiées dans certaines versions du serveur. Il ne contrôle pas correctement certains caractères d'échappement, tels que le guillemet '. Un utilisateur malveillant peut profiter de ce problème pour injecter, soit directement, soit par le biais d'une application tierce, des requêtes SQL arbitraires. La politique de sécurité est alors contournée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation