CERTA

Centre d'Expertise gouvernemental de
Réponse et de Traitement des Attaques informatiques

Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

Recherche

Rechercher un document

Les documents du CERTA

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

Les Flux RSS du CERTA

Flux RSS complet
Flux RSS des alertes
Flux RSS SCADA

CERTA-2004-AVI-185

Communauté CERT

À propos du CERTA

Archives du CERTA

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 juillet 2004
N^o CERTA-2004-AVI-185-002

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité dans le pilote ODBC de PostgreSQL

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-185

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2004-AVI-185-002
Titre	Vulnérabilité dans le pilote ODBC de PostgreSQL
Date de la première version	09 juin 2004
Date de la dernière version	28 juillet 2004
Source(s)	Avis de sécurité Debian DSA-516 du 07 juin 2004
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Déni de service ;
exécution de code arbitraire.

2 Systèmes affectés

Le pilote ODBC psqlodbc 7.x du gestionnaire de base de données PostgreSQL.

3 Résumé

Une vulnérabilité présente dans le pilote ODBC (Open DataBase Connectivity) du gestionnaire de base de données PostgreSQL permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance.

4 Description

Un débordement de mémoire est présent dans la fonction PGAPI_Connect() du pilote ODBC. Un utilisateur mal intentionné peut, via une chaîne malicieusement construite, exécuter du code arbitraire sur le système vulnérable.

5 Solution

Appliquer les correctifs (cf. section Documentation).

6 Documentation

Site Internet PostreSQL :
```
http://www.postgresql.org
```
Avis de sécurité Debian DSA-516 du 07 juin 2004 :
```
http://www.debian.org/security/2004/dsa-516
```
Avis de sécurité SUSE SuSE-SA:2004:015 du 09 juin 2004 :
```
http://www.suse.com/de/security/2004_15_cvs.html
```

Avis de sécurité Mandrake MDKSA-2004:072 du 27 juillet 2004 :

http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:072

Référence CVE CAN-2004-0547 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0547

Gestion détaillée du document

09 juin 2004: version initiale.
09 juin 2004: ajout du site Internet PostgreSQL et de la référence au bulletin de sécurité de SUSE.
28 juillet 2004: ajout référence au bulletin de sécurité de Mandrake. Ajout référence CVE.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 17/05/2013