CERTA-2002-AVI-192
Vulnerability from certfr_avis - Published: - Updated:
Plusieurs vulnérabilités sur PostgreSQL permettent à un utilisateur mal intentionné d'exécuter du code arbitraire.
Description
PostgreSQL est un gestionnaire de bases de données relationnelles.
Des vulnérabilités de type débordement de mémoire, découvertes dans plusieurs fonctions, permettent à un utilisateur mal intentionné d'exécuter du code arbitraire.
L'utilisateur doit pouvoir se connecter à l'une des bases pour exploiter ces vulnérabilités.
Contournement provisoire
Pour limiter l'impact des vulnérabilités, vous pouvez :
-
bloquer le port sur lequel le serveur PostgreSQL est en écoute (5432/tcp par défaut) au niveau des pare-feux afin d'empêcher l'exploitation de ces vulnérabilités depuis l'Internet ;
-
ne pas accepter les connexions non authentifiées (trust authentication) à la base de données.
Editez pour cela le fichier pg_hba.conf.
Solution
La version 7.2.2 corrige ces vulnérabilités.
PostgreSQL versions 7.2.1 et antérieures.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003ePostgreSQL versions 7.2.1 et ant\u00e9rieures.\u003c/P\u003e",
"content": "## Description\n\nPostgreSQL est un gestionnaire de bases de donn\u00e9es relationnelles.\n\nDes vuln\u00e9rabilit\u00e9s de type d\u00e9bordement de m\u00e9moire, d\u00e9couvertes dans\nplusieurs fonctions, permettent \u00e0 un utilisateur mal intentionn\u00e9\nd\u0027ex\u00e9cuter du code arbitraire.\n\nL\u0027utilisateur doit pouvoir se connecter \u00e0 l\u0027une des bases pour exploiter\nces vuln\u00e9rabilit\u00e9s.\n\n## Contournement provisoire\n\nPour limiter l\u0027impact des vuln\u00e9rabilit\u00e9s, vous pouvez :\n\n- bloquer le port sur lequel le serveur PostgreSQL est en \u00e9coute\n (5432/tcp par d\u00e9faut) au niveau des pare-feux afin d\u0027emp\u00eacher\n l\u0027exploitation de ces vuln\u00e9rabilit\u00e9s depuis l\u0027Internet ;\n\n- ne pas accepter les connexions non authentifi\u00e9es (trust\n authentication) \u00e0 la base de donn\u00e9es.\n\n Editez pour cela le fichier pg_hba.conf.\n\n## Solution\n\nLa version 7.2.2 corrige ces vuln\u00e9rabilit\u00e9s.\n",
"cves": [],
"links": [
{
"title": "Avis de PostgreSQL :",
"url": "http://www.fr.postgresql.org/news.html"
}
],
"reference": "CERTA-2002-AVI-192",
"revisions": [
{
"description": "version initiale ;",
"revision_date": "2002-08-27T00:00:00.000000"
},
{
"description": "premi\u00e8re r\u00e9vision : ajout de l\u0027avis Debian.",
"revision_date": "2002-09-13T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s sur PostgreSQL permettent \u00e0 un utilisateur mal\nintentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire.\n",
"title": "Vuln\u00e9rabilit\u00e9s de PostgreSQL",
"vendor_advisories": []
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.