Bulletin d'alerte Debian

DLA-2478-1 postgresql-9.6 -- Mise à jour de sécurité pour LTS

Date du rapport :
2 décembre 2020
Paquets concernés :
postgresql-9.6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-25694, CVE-2020-25695, CVE-2020-25696.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le système de base de données PostgreSQL.

  • CVE-2020-25694

    Peter Eisentraut a trouvé que des reconnexions vers la base de données pourraient abandonner des options de la connexion originelle, telles que le chiffrement. Cela pourrait conduire à une divulgation d'informations ou à une attaque d’homme du milieu.

  • CVE-2020-25695

    Etienne Stalmans a signalé qu’un utilisateur, avec permission de créer des objets non temporaires dans un schéma, peut exécuter des fonctions arbitraires SQL en tant que superutilisateur.

  • CVE-2020-25696

    Nick Cleaton a trouvé que la commande \gset modifiait des variables qui contrôlaient le comportement de psql. Cela pourrait aboutir à un serveur compromis ou malveillant exécutant du code arbitraire dans la session de l’utilisateur.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 9.6.20-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets postgresql-9.6.

Pour disposer d'un état détaillé sur la sécurité de postgresql-9.6, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/postgresql-9.6.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.