Vulnérabilité dans le pilote ODBC de PostgreSQL

Gestion du document

Référence	CERTA-2004-AVI-185-002
Titre	Vulnérabilité dans le pilote ODBC de PostgreSQL
Date de la première version	09 juin 2004
Date de la dernière version	28 juillet 2004
Source(s)	Avis de sécurité Debian DSA-516 du 07 juin 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service ;
exécution de code arbitraire.

Systèmes affectés

Le pilote ODBC psqlodbc 7.x du gestionnaire de base de données PostgreSQL.

Résumé

Une vulnérabilité présente dans le pilote ODBC (Open DataBase Connectivity) du gestionnaire de base de données PostgreSQL permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance.

Description

Un débordement de mémoire est présent dans la fonction PGAPI_Connect() du pilote ODBC. Un utilisateur mal intentionné peut, via une chaîne malicieusement construite, exécuter du code arbitraire sur le système vulnérable.

Solution

Appliquer les correctifs (cf. section Documentation).

Documentation

Site Internet PostreSQL :
```
http://www.postgresql.org
```
Avis de sécurité Debian DSA-516 du 07 juin 2004 :
```
http://www.debian.org/security/2004/dsa-516
```
Avis de sécurité SUSE SuSE-SA:2004:015 du 09 juin 2004 :
```
http://www.suse.com/de/security/2004_15_cvs.html
```

Avis de sécurité Mandrake MDKSA-2004:072 du 27 juillet 2004 :

http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:072

Référence CVE CAN-2004-0547 :

https://www.cve.org/CVERecord?id=CAN-2004-0547

Gestion détaillée du document

le 09 juin 2004: ajout du site Internet PostgreSQL et de la référence au bulletin de sécurité de SUSE.

le 28 juillet 2004: ajout référence au bulletin de sécurité de Mandrake. Ajout référence CVE.

Avis du CERT-FR

Objet: Vulnérabilité dans le pilote ODBC de PostgreSQL