LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3316-1 postgresql-11

Bulletin d'alerte Debian

DLA-3316-1 postgresql-11 -- Mise à jour de sécurité pour LTS

Date du rapport :

10 février 2023

Paquets concernés :

postgresql-11

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-41862.

Plus de précisions :

Jacob Champion a découvert que libpq pouvait divulguer le contenu de la mémoire après que l’initialisation du chiffrement du transport GSSAPI ait échoué.

Un serveur modifié, ou un homme du milieu non authentifié, pouvait envoyer un message d’erreur de fin non terminée par zéro lors de la mise en place du chiffrement de transport GSSAPI (Kerberos). libpq copiait alors cette chaine, ainsi que les octets suivants, dans la mémoire de l’application jusqu’au prochain octet zéro pour son rapport d’erreur. Selon ce que l’application faisait avec le rapport d’erreur, cela pouvait aboutir à une divulgation du contenu de la mémoire. Il existait aussi une faible probabilité de plantage à cause d’une lecture après la fin de la mémoire. Corrigez le problème en terminant par zéro le message du serveur. (CVE-2022-41862)

Pour Debian 10 Buster, ce problème a été corrigé dans la version 11.19-0+deb10u1.

Nous vous recommandons de mettre à jour vos paquets postgresql-11.

Pour disposer d'un état détaillé sur la sécurité de postgresql-11, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/postgresql-11.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.