Risques
- Contournement de la politique de sécurité
- Déni de service
Systèmes affectés
- PostgreSQL 7.3 ;
- PostgreSQL 7.4 ;
- PostgreSQL 8.0 ;
- PostgreSQL 8.1 ;
- PostgreSQL 8.2.
Résumé
Plusieurs vulnérabilités de PostgreSQL permettent à une personne malveillante de réaliser un déni de service et de contourner la politique de sécurité.
Description
Deux vulnérabilités ont été identifiées dans PostgreSQL.
La première (CVE-2007-0555) permet à un utilisateur malintentionné, en supprimant les informations renvoyées par certaines fonctions de contrôle, de réaliser un déni de service et d'accèder à des données protégées.
La seconde (CVE-2007-0556) permet à un utilisateur malintentionné, en changeant le type de données d'une colonne, de réaliser un déni de service et d'accèder à des données protégées.
Solution
Les versions 8.2.2, 8.1.7, 8.0.11, 7.4.16 et 7.3.13 de PostgreSQL corrigent les problèmes. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité PostgreSQL http://www.postgresql.org/support/security
- Bulletin de sécurité Avaya ASA-2007-117 du 19 mars 2007 : http://www.support.avaya.com/elmodocs2/security/ASA-2007-117.htm
- Bulletin de sécurité Debian DSA-1261 du 15 mars 2007 : http://www.us.debian.org/security/2007/dsa-1261
- Bulletin de sécurité Gentoo GLSA-200703-15 du 16 mars 2007 : http://www.gentoo.org/security/en/glsa/glsa-200703-15.xml
- Bulletin de sécurité Mandriva MDKSA-2007:037 du 06 février 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:037
- Bulletin de sécurité Red Hat RHSA-2007:0064 du 07 février 2007 : http://rhn.redhat.com/errata/RHSA-2007-0064.html
- Bulletin de sécurité Sun Solaris #102825 du 27 février 2007 : http://sunsolve.sun.com/search/document.do?assetkey=1-102825-1
- Bulletin de sécurité Ubuntu USN-417-1 du 05 février 2007 : http://www.ubuntu.com/usn/usn-417-1
- Bulletin de sécurité Ubuntu USN-417-2 du 06 février 2007 : http://www.ubuntu.com/usn/usn-417-2
- Bulletin de sécurité Ubuntu USN-417-3 du 09 février 2007 : http://www.ubuntu.com/usn/usn-417-3
- Référence CVE CVE-2007-0555 https://www.cve.org/CVERecord?id=CVE-2007-0555
- Référence CVE CVE-2007-0556 https://www.cve.org/CVERecord?id=CVE-2007-0556