Risque
- Déni de service ;
- élévation de privilèges.
Systèmes affectés
PostgreSQL versions 7.3, 7.4, 8.0, 8.1 et 8.2.
Résumé
Des vulnérabilités dans PostgreSQL permettent de réaliser un déni de service ou une élévation de privilèges.
Description
Plusieurs vulnérabilités ont été découvertes dans PostgreSQL :
- une des fonctionnalités de PostgreSQL permet de créer une indexation des résultats de fonctions définies par l'utilisateur. Des vulnérabilités dans les fonctions d'indexation permettent d'élever les privilèges de l'utilisateur (CVE-2007-6600) ;
- des problèmes ont été découverts dans les bibliothèques permettant le traitement des expressions régulières par PostgreSQL. Un utilisateur malintentionné peut, par le biais d'expressions régulières spécifiques, réaliser un déni de service (CVE-2007-4769, CVE-2007-4772 et CVE-2007-6067) ;
- une vulnérabilité dans les fonctions DBLink permet l'élévation des privilèges (CVE-2007-6601).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité PostgreSQL du 06 janvier 2008 :
http://www.postgresql.org/about/news.905
- Mises à jour de sécurité Debian DSA-1460 :
http://www.debian.org/security/2008/dsa-1460
- Mises à jour de sécurité Red Hat RHSA-2008-0038 et RHSA-2008-0039 :
http://www.redhat.com/support/errata/RHSA-2008-0038.html
http://www.redhat.com/support/errata/RHSA-2008-0039.html
- Mises à jour de sécurité Mandriva MDVSA-2008:004 :
http://www.mandriva.com/security/advisories?name=MDVSA-2008:004
- Référence CVE CVE-2007-4769 :
https://www.cve.org/CVERecord?id=CVE-2007-4769
- Référence CVE CVE-2007-4772 :
https://www.cve.org/CVERecord?id=CVE-2007-4772
- Référence CVE CVE-2007-6067 :
https://www.cve.org/CVERecord?id=CVE-2007-6067
- Référence CVE CVE-2007-6600 :
https://www.cve.org/CVERecord?id=CVE-2007-6600
- Référence CVE CVE-2007-6601 :
https://www.cve.org/CVERecord?id=CVE-2007-6601