PostgreSQL : des mises à jour d'urgence du SGBD disponibles
Pour corriger une faille critique pouvant permettre des attaques DoS
Le 2013-04-09 14:01:21, par Cedric Chevalier, Expert éminent sénior
L’équipe de développement de PostgreSQL vient de publier les mises à jour 9.2.4, 9.1.9, 9.0.13 et 8.4.17 du système de gestion de base de données open source.
Elles corrigent une faille de sécurité critique pouvant provoquer un déni de service par corruption des fichiers du serveur de base de données, grâce à des attaques par injection d’argument. Une attaque réussie peut entrainer le plantage d’un serveur.
Pour un utilisateur distant correctement authentifié, une requête de connexion à la base de données précédée du caractère '-' (trait d’union) permet à ce dernier de modifier les paramètres de configuration et d’exécuter ainsi du code arbitraire.
Par ailleurs, d’autres correctifs de sécurité mineurs sont également inclus à ces versions. Ils permettent notamment de corriger une vulnérabilité OpenSSL due aux fonctions « contrib/pgcrypto », qui généraient des nombres aléatoires de façon très prévisible et une autre qui permettait à un utilisateur ayant de faibles privilèges d'exécuter des commandes qui pouvaient interférer avec les sauvegardes en cours.
Enfin, le patch permet d’apporter des correctifs de sécurité pour les installeurs graphiques des versions Mac et Linux, qui permettaient respectivement la création des fichiers avec des noms prévisibles dans le dossier /tmp et un échange non sécurisé du mot de passe du super utilisateur avec un script d’installation.
Les utilisateurs sont encouragés à rapidement mettre à jour leur logiciel.
Source : le site du projet
Et vous ?
Elles corrigent une faille de sécurité critique pouvant provoquer un déni de service par corruption des fichiers du serveur de base de données, grâce à des attaques par injection d’argument. Une attaque réussie peut entrainer le plantage d’un serveur.
Pour un utilisateur distant correctement authentifié, une requête de connexion à la base de données précédée du caractère '-' (trait d’union) permet à ce dernier de modifier les paramètres de configuration et d’exécuter ainsi du code arbitraire.
Par ailleurs, d’autres correctifs de sécurité mineurs sont également inclus à ces versions. Ils permettent notamment de corriger une vulnérabilité OpenSSL due aux fonctions « contrib/pgcrypto », qui généraient des nombres aléatoires de façon très prévisible et une autre qui permettait à un utilisateur ayant de faibles privilèges d'exécuter des commandes qui pouvaient interférer avec les sauvegardes en cours.
Enfin, le patch permet d’apporter des correctifs de sécurité pour les installeurs graphiques des versions Mac et Linux, qui permettaient respectivement la création des fichiers avec des noms prévisibles dans le dossier /tmp et un échange non sécurisé du mot de passe du super utilisateur avec un script d’installation.
Les utilisateurs sont encouragés à rapidement mettre à jour leur logiciel.
Source : le site du projet
Et vous ?