Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2534-1 postgresql-8.4

Bulletin d'alerte Debian

DSA-2534-1 postgresql-8.4 -- Plusieurs vulnérabilités

Date du rapport :

25 août 2012

Paquets concernés :

postgresql-8.4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3488, CVE-2012-3489.

Plus de précisions :

Deux vulnérabilités relatives au traitement du XML ont été découvertes dans PostgreSQL, un système de gestion de bases de données SQL.

• CVE-2012-3488

  xslt_process() de contrib/xml2 peut être utilisé pour lire et écrire des fichiers externes et des URL.

• CVE-2012-3489

  xml_parse() récupère des fichiers externes ou des URL pour résoudre des références de DTD et d'entités dans les valeurs XML.

Cette mise à jour supprime la fonctionnalité problématique, en cassant éventuellement les applications qui l'utilisent de façon légitime.

À cause de la nature de ces vulnérabilités, des attaquants qui n'ont qu'un accès indirect à la base de données pourraient fournir des données XML contrefaites pour exploiter cette vulnérabilité.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 8.4.13-0squeeze1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 9.1.5-1 du paquet postgresql-9.1.

Nous vous recommandons de mettre à jour vos paquets postgresql-8.4.