Risques
- Déni de service
- Élévation de privilèges
Systèmes affectés
PostgreSQL versions 7.3, 7.4, 8.0, 8.1 et 8.2.
Résumé
Des vulnérabilités dans PostgreSQL permettent de réaliser un déni de service ou une élévation de privilèges.
Description
Plusieurs vulnérabilités ont été découvertes dans PostgreSQL :
- une des fonctionnalités de PostgreSQL permet de créer une indexation des résultats de fonctions définies par l'utilisateur. Des vulnérabilités dans les fonctions d'indexation permettent d'élever les privilèges de l'utilisateur (CVE-2007-6600) ;
- des problèmes ont été découverts dans les bibliothèques permettant le traitement des expressions régulières par PostgreSQL. Un utilisateur malintentionné peut, par le biais d'expressions régulières spécifiques, réaliser un déni de service (CVE-2007-4769, CVE-2007-4772 et CVE-2007-6067) ;
- une vulnérabilité dans les fonctions DBLink permet l'élévation des privilèges (CVE-2007-6601).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité PostgreSQL du 06 janvier 2008 http://www.postgresql.org/about/news.905
- Mises à jour de sécurité Debian DSA-1460 : http://www.debian.org/security/2008/dsa-1460
- Mises à jour de sécurité Mandriva MDVSA-2008:004 : http://www.mandriva.com/security/advisories?name=MDVSA-2008:004
- Mises à jour de sécurité Red Hat RHSA-2008-0038 et RHSA-2008-0039 : http://www.redhat.com/support/errata/RHSA-2008-0039.html
- Mises à jour de sécurité Red Hat RHSA-2008-0038 et RHSA-2008-0039 : http://www.redhat.com/support/errata/RHSA-2008-0038.html
- Référence CVE CVE-2007-4769 https://www.cve.org/CVERecord?id=CVE-2007-4769
- Référence CVE CVE-2007-4772 https://www.cve.org/CVERecord?id=CVE-2007-4772
- Référence CVE CVE-2007-6067 https://www.cve.org/CVERecord?id=CVE-2007-6067
- Référence CVE CVE-2007-6600 https://www.cve.org/CVERecord?id=CVE-2007-6600
- Référence CVE CVE-2007-6601 https://www.cve.org/CVERecord?id=CVE-2007-6601
