Bulletin d'alerte Debian
DLA-2478-1 postgresql-9.6 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 2 décembre 2020
- Paquets concernés :
- postgresql-9.6
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2020-25694, CVE-2020-25695, CVE-2020-25696.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans le système de base de données PostgreSQL.
- CVE-2020-25694
Peter Eisentraut a trouvé que des reconnexions vers la base de données pourraient abandonner des options de la connexion originelle, telles que le chiffrement. Cela pourrait conduire à une divulgation d'informations ou à une attaque d’homme du milieu.
- CVE-2020-25695
Etienne Stalmans a signalé qu’un utilisateur, avec permission de créer des objets non temporaires dans un schéma, peut exécuter des fonctions arbitraires SQL en tant que superutilisateur.
- CVE-2020-25696
Nick Cleaton a trouvé que la commande \gset modifiait des variables qui contrôlaient le comportement de psql. Cela pourrait aboutir à un serveur compromis ou malveillant exécutant du code arbitraire dans la session de l’utilisateur.
Pour Debian 9
Stretch
, ces problèmes ont été corrigés dans la version 9.6.20-0+deb9u1.Nous vous recommandons de mettre à jour vos paquets postgresql-9.6.
Pour disposer d'un état détaillé sur la sécurité de postgresql-9.6, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/postgresql-9.6.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2020-25694