PostgreSQL : les développeurs du SGBD publient une mise à jour d'urgencepour corriger une faille critique pouvant permettre des attaques DoS
L’équipe de développement de PostgreSQL vient de publier les mises à jour 9.2.4, 9.1.9, 9.0.13 et 8.4.17 du système de gestion de base de données open source.
Elles corrigent une faille de sécurité critique pouvant provoquer un déni de service par corruption des fichiers du serveur de base de données, grâce à des attaques par injection d’argument. Une attaque réussie peut entrainer le plantage d’un serveur.
Pour un utilisateur distant correctement authentifié, une requête de connexion à la base de données précédée du caractère '-' (trait d’union) permet à ce dernier de modifier les paramètres de configuration et d’exécuter ainsi du code arbitraire.
Par ailleurs, d’autres correctifs de sécurité mineurs sont également inclus à ces versions. Ils permettent notamment de corriger une vulnérabilité OpenSSL due aux fonctions « contrib/pgcrypto », qui généraient des nombres aléatoires de façon très prévisible et une autre qui permettait à un utilisateur ayant de faibles privilèges d'exécuter des commandes qui pouvaient interférer avec les sauvegardes en cours.
Enfin, le patch permet d’apporter des correctifs de sécurité pour les installeurs graphiques des versions Mac et Linux, qui permettaient respectivement la création des fichiers avec des noms prévisibles dans le dossier /tmp et un échange non sécurisé du mot de passe du super utilisateur avec un script d’installation.
Les utilisateurs sont encouragés à rapidement mettre à jour leur logiciel.
Télécharger les mises à jourSource : le site du projet
Et vous ?
Utilisez-vous PostgreSQL ? Que pensez-vous de la sécurité du SGBD ?
Vous avez lu gratuitement 27 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.