Bulletin d'alerte Debian

DSA-2418-1 postgresql-8.4 -- Plusieurs vulnérabilités

Date du rapport :
27 février 2012
Paquets concernés :
postgresql-8.4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0866, CVE-2012-0867, CVE-2012-0868.
Plus de précisions :

Plusieurs vulnérabilités locales ont été découvertes dans PostgreSQL, une base de données relationnelle-objet SQL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2012-0866

    Les droits d'une fonction appelée par un déclencheur ne sont pas vérifiés. Cela pourrait avoir pour conséquence une augmentation de droits.

  • CVE-2012-0867

    Seuls les 32 premiers caractères d'un nom d'hôte sont vérifiés lors de la validation des noms d'hôte par l'intermédiaire de certificats SSL. Cela pourrait permettre d'usurper la connexion dans certaines circonstances restreintes.

  • CVE-2012-0868

    pg_dump ne vérifiait pas les noms d'objet. Cela pourrait permettre l'exécution d'une commande SQL arbitraire si un fichier de sauvegarde (dump) contrefait est ouvert.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 8.4.11-0squeeze1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 8.4.11-1.

Nous vous recommandons de mettre à jour vos paquets postgresql-8.4.