Risque
- Élévation de privilèges ;
- contournement de la politique de sécurité.
Systèmes affectés
Toutes les versions de PostgreSQL.
Résumé
Plusieurs vulnérabilités affectent PostgreSQL et permettent à un utilisateur malveillant de contourner la politique de sécurité ou d'élever ses privilèges.
Description
Plusieurs vulnérabilités sont présentes dans PostgreSQL :
- (CVE-2009-4034) la validation des certificats dans lesquels le nom ou le nom alternatif comportent un caractère nul permet à un utilisateur malveillant de contourner la politique de sécurité ;
- (CVE-2009-4136) dans certaines conditions, le changement de l'état d'une session permet à un utilisateur malveillant d'élever ses privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de téléchargement du projet PostgreSQL :
http://www.postgresql.org/
- Bulletin de version PostgreSQL du 14 décembre 2009 :
http://www.postgresql.org/about/news.1170
- Référence CVE CVE-2009-4034 :
https://www.cve.org/CVERecord?id=CVE-2009-4034
- Référence CVE CVE-2009-4136 :
https://www.cve.org/CVERecord?id=CVE-2009-4136
- Bulletin de sécurité Ubuntu USN-876-1 du 03 janvier 2010 :
http://www.ubuntu.com/usn/USN-876-1
- Bulletin de sécurité de Debian DSA-1964 du 31 décembre 2009 :
http://www.us.debian.org/security/2009/dsa-1964