LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2478-1 postgresql-9.6

Bulletin d'alerte Debian

DLA-2478-1 postgresql-9.6 -- Mise à jour de sécurité pour LTS

Date du rapport :

2 décembre 2020

Paquets concernés :

postgresql-9.6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-25694, CVE-2020-25695, CVE-2020-25696.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le système de base de données PostgreSQL.

• CVE-2020-25694

  Peter Eisentraut a trouvé que des reconnexions vers la base de données pourraient abandonner des options de la connexion originelle, telles que le chiffrement. Cela pourrait conduire à une divulgation d'informations ou à une attaque d’homme du milieu.

• CVE-2020-25695

  Etienne Stalmans a signalé qu’un utilisateur, avec permission de créer des objets non temporaires dans un schéma, peut exécuter des fonctions arbitraires SQL en tant que superutilisateur.

• CVE-2020-25696

  Nick Cleaton a trouvé que la commande \gset modifiait des variables qui contrôlaient le comportement de psql. Cela pourrait aboutir à un serveur compromis ou malveillant exécutant du code arbitraire dans la session de l’utilisateur.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 9.6.20-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets postgresql-9.6.

Pour disposer d'un état détaillé sur la sécurité de postgresql-9.6, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/postgresql-9.6.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.