Risques
- Contournement de la politique de sécurité
- Élévation de privilèges
Systèmes affectés
Toutes les versions de PostgreSQL.
Résumé
Plusieurs vulnérabilités affectent PostgreSQL et permettent à un utilisateur malveillant de contourner la politique de sécurité ou d'élever ses privilèges.
Description
Plusieurs vulnérabilités sont présentes dans PostgreSQL :
- (CVE-2009-4034) la validation des certificats dans lesquels le nom ou le nom alternatif comportent un caractère nul permet à un utilisateur malveillant de contourner la politique de sécurité ;
- (CVE-2009-4136) dans certaines conditions, le changement de l'état d'une session permet à un utilisateur malveillant d'élever ses privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de version PostgreSQL du 14 décembre 2009 http://www.postgresql.org/about/news.1170
- Bulletin de sécurité Ubuntu USN-876-1 du 03 janvier 2010 : http://www.ubuntu.com/usn/USN-876-1
- Bulletin de sécurité de Debian DSA-1964 du 31 décembre 2009 : http://www.us.debian.org/security/2009/dsa-1964
- Site de téléchargement du projet PostgreSQL : http://www.postgresql.org/
- Référence CVE CVE-2009-4034 https://www.cve.org/CVERecord?id=CVE-2009-4034
- Référence CVE CVE-2009-4136 https://www.cve.org/CVERecord?id=CVE-2009-4136