Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2658-1 postgresql-9.1

Bulletin d'alerte Debian

DSA-2658-1 postgresql-9.1 -- Plusieurs vulnérabilités

Date du rapport :

4 avril 2013

Paquets concernés :

postgresql-9.1

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 704479.
Dans le dictionnaire CVE du Mitre : CVE-2013-1899, CVE-2013-1900, CVE-2013-1901.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur de bases de données PostgreSQL.

• CVE-2013-1899

  Mitsumasa Kondo et Kyotaro Horiguchi du centre de logiciel ouvert NTT ont découvert qu’il était possible de contrefaire une demande de connexion contenant un nom de base de données commençant par - pour endommager ou détruire des fichiers dans un répertoire de données du serveur. N’importe qui ayant accès au port d’écoute du serveur PostgreSQL peut initier cette demande.

• CVE-2013-1900

  Un autre utilisateur de base de données pourrait facilement deviner les nombres aléatoires générés par les fonctions contrib/pgcrypto.

• CVE-2013-1901

  Un utilisateur sans droit pourrait exécuter des commandes qui pourraient interférer avec des sauvegardes en cours.

Pour la distribution stable (Squeeze), postgresql-9.1 n’est pas disponible. DSA-2657-1 a été publiée pour CVE-2013-1900 concernant posgresql-8.4.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 9.1.9-0wheezy1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 9.1.9-1.

Nous vous recommandons de mettre à jour vos paquets postgresql-9.1.