Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

PostgreSQL : des mises à jour d'urgence du SGBD disponibles
Pour corriger une faille critique pouvant permettre des attaques DoS

Le , par Cedric Chevalier

21PARTAGES

3  0 
L’équipe de développement de PostgreSQL vient de publier les mises à jour 9.2.4, 9.1.9, 9.0.13 et 8.4.17 du système de gestion de base de données open source.

Elles corrigent une faille de sécurité critique pouvant provoquer un déni de service par corruption des fichiers du serveur de base de données, grâce à des attaques par injection d’argument. Une attaque réussie peut entrainer le plantage d’un serveur.

Pour un utilisateur distant correctement authentifié, une requête de connexion à la base de données précédée du caractère '-' (trait d’union) permet à ce dernier de modifier les paramètres de configuration et d’exécuter ainsi du code arbitraire.

Par ailleurs, d’autres correctifs de sécurité mineurs sont également inclus à ces versions. Ils permettent notamment de corriger une vulnérabilité OpenSSL due aux fonctions « contrib/pgcrypto », qui généraient des nombres aléatoires de façon très prévisible et une autre qui permettait à un utilisateur ayant de faibles privilèges d'exécuter des commandes qui pouvaient interférer avec les sauvegardes en cours.

Enfin, le patch permet d’apporter des correctifs de sécurité pour les installeurs graphiques des versions Mac et Linux, qui permettaient respectivement la création des fichiers avec des noms prévisibles dans le dossier /tmp et un échange non sécurisé du mot de passe du super utilisateur avec un script d’installation.

Les utilisateurs sont encouragés à rapidement mettre à jour leur logiciel.

Télécharger les mises à jour

Source : le site du projet

Et vous ?

Utilisez-vous PostgreSQL ?

Que pensez-vous de la sécurité du SGBD ?

Une erreur dans cette actualité ? Signalez-le nous !