Vulnérabilités dans PostGreSQL
Date de publication :
Plusieurs vulnérabilités ont été corrigées sur le système de gestion de base de données PostGreSQL dans la distribution Debian.
CVE-2019-10208[Score CVSS v3 : 8.8] : Cette vulnérabilité décrit la possibilité d'exécuter des instructions SQL arbitraires avec une fonction SECURITY DEFINER spécifique. Un attaquant distant et disposant de la permission EXECUTE sur la fonction, peut exécuter des commandes SQL arbitraires en tant que propriétaire de la fonction.
La CVE-2019-10164[Score CVSS v3 : 8.8] est présente dans le bulletin de sécurité de Debian et est traitée dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/1716-vulnerabilite-dans-postgresql-2020-03-30
La CVE-2020-14349[Score CVSS v3 : 7.1] également présente dans le bulletin de sécurité de Debian, est traitée dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/2002-vulnerabilites-dans-postgresql-2020-08-18
Les CVE-2020-25694[Score CVSS v3 : 8.1], CVE-2020-25695[Score CVSS v3 : 8.8] et la CVE-2020-25696[Score CVSS v3 : 7.5] sont également présentes dans le bulletin de sécurité de Debian, sont décrites dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/2236-vulnerabilites-dans-postgresql-10-12-2020-12-03
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
- Atteinte à la confidentialité et la l’intégrité des données
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 7.1; 7.5; 8.1; 8.8; 8.8; 8.8
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation publique à l’heure actuelle.
Composants vulnérables
- PostgreSQL versions 12.x antérieures à 12.5
- PostgreSQL versions 11.x antérieures à 11.10
- PostgreSQL versions 10.x antérieures à 10.15
- PostgreSQL versions 9.6.x antérieures à 9.6.20
- PostgreSQL versions 9.5.x antérieures à 9.5.24
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Selon la version de PostGreSQL utilisée, il est nécessaire de mettre à jour le logiciel vers une des versions suivantes :
PostGreSQL version 12.5 ou une version ultérieure.
PostGreSQL version 11.10 ou une version ultérieure
PostGreSQL version 10.15 ou une version ultérieure
PostGreSQL version 9.6.20 ou une version ultérieure
PostGreSQL version 9.5.24 ou une version ultérieure
Solution de contournement
Il n’existe pas de solutions de contournement proposées à l’heure actuelle.