Risque
- Déni de service à distance ;
- contournement de la politique de sécurité ;
- élévation de privilèges.
Systèmes affectés
- PostgreSQL 7.4.26 ;
- PostgreSQL 8.x.
Résumé
Plusieurs vulnérabilités dans PostgreSQL permettent à une personne malintentionnée de provoquer un déni de service à distance, de contourner la politique de sécurité ou d'élever ses privilèges sur le système.
Description
Plusieurs vulnérabilités ont été découvertes dans PostgreSQL :
- une erreur dans la fonction RESET SESSION AUTHORIZATION permet à une personne malintentionnée d'élever ses privilèges sur le système ;
- une erreur dans la liaison avec un annuaire LDAP permet dans certaines conditions de contourner le mécanisme d'authentification ;
- une erreur dans la gestion du rechargement de la librairie $libdir/plugins permet de provoquer un déni de service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité PostgreSQL :
http://www.postgresql.org/support/security.html
- Bulletin de sécurité Debian DSA-1900 du 02 octobre 2009 :
http://www.debian.org/security/2009/dsa-1900
- Bulletin de sécurité RedHat RHSA-2009:1484 du 07 octobre 2009 :
http://rhn.redhat.com/errata/RHSA-2009-1484.html
- Bulletin de sécurité RedHat RHSA-2009:1485 du 10 octobre 2009 :
http://rhn.redhat.com/errata/RHSA-2009-1485.html
- Référence CVE CVE-2009-3229 :
https://www.cve.org/CVERecord?id=CVE-2009-3229
- Référence CVE CVE-2009-3230 :
https://www.cve.org/CVERecord?id=CVE-2009-3230
- Référence CVE CVE-2009-3231 :
https://www.cve.org/CVERecord?id=CVE-2009-3231
