S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 12 octobre 2009
No CERTA-2009-AVI-380-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans PostgreSQL
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-380-001 |
| Titre |
Multiples
vulnérabilités dans PostgreSQL |
| Date de la première
version |
11 septembre 2009 |
| Date de la dernière
version |
12 octobre 2009 |
| Source(s) |
Bulletin de
sécurité PostgreSQL |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- contournement de la politique de sécurité
;
- élévation de privilèges.
- PostgreSQL 7.4.26 ;
- PostgreSQL 8.x.
Plusieurs vulnérabilités dans
PostgreSQL permettent à une personne
malintentionnée de provoquer un déni de service
à distance, de contourner la politique de
sécurité ou d'élever ses privilèges
sur le système.
Plusieurs vulnérabilités ont été
découvertes dans PostgreSQL :
- une erreur dans la fonction RESET
SESSION AUTHORIZATION permet à une personne
malintentionnée d'élever ses privilèges
sur le système ;
- une erreur dans la liaison avec un annuaire LDAP permet dans certaines conditions de
contourner le mécanisme d'authentification ;
- une erreur dans la gestion du rechargement de la
librairie $libdir/plugins permet
de provoquer un déni de service.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 11 septembre 2009
- version initiale.
- 12 octobre 2009
- ajout des références aux bulletins de
sécurité Debian, et RedHat et des
références CVE.
CERTA
2012-01-04
|
)
