Vulnérabilités dans PostGreSQL

Date de publication :

Plusieurs vulnérabilités ont été corrigées sur le système de gestion de base de données PostGreSQL dans la distribution Debian.

CVE-2019-10208[Score CVSS v3 : 8.8] : Cette vulnérabilité décrit la possibilité d'exécuter des instructions SQL arbitraires avec une fonction SECURITY DEFINER spécifique. Un attaquant distant et disposant de la permission EXECUTE sur la fonction, peut exécuter des commandes SQL arbitraires en tant que propriétaire de la fonction.

La CVE-2019-10164[Score CVSS v3 : 8.8] est présente dans le bulletin de sécurité de Debian et est traitée dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/1716-vulnerabilite-dans-postgresql-2020-03-30

La CVE-2020-14349[Score CVSS v3 : 7.1] également présente dans le bulletin de sécurité de Debian, est traitée dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/2002-vulnerabilites-dans-postgresql-2020-08-18

Les CVE-2020-25694[Score CVSS v3 : 8.1], CVE-2020-25695[Score CVSS v3 : 8.8] et la CVE-2020-25696[Score CVSS v3 : 7.5] sont également présentes dans le bulletin de sécurité de Debian, sont décrites dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/2236-vulnerabilites-dans-postgresql-10-12-2020-12-03

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Déni de service

    Atteinte à la confidentialité et la l’intégrité des données

    Violation des politiques de sécurité

Criticité

    Score CVSS v3 : 7.1; 7.5; 8.1; 8.8; 8.8; 8.8

Existence d’un code d’exploitation

    Il n’existe pas de code d’exploitation publique à l’heure actuelle.

Composants vulnérables

    PostgreSQL versions 12.x antérieures à 12.5

    PostgreSQL versions 11.x antérieures à 11.10

    PostgreSQL versions 10.x antérieures à 10.15

    PostgreSQL versions 9.6.x antérieures à 9.6.20

    PostgreSQL versions 9.5.x antérieures à 9.5.24

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Selon la version de PostGreSQL utilisée, il est nécessaire de mettre à jour le logiciel vers une des versions suivantes :

  • PostGreSQL version 12.5 ou une version ultérieure.

  • PostGreSQL version 11.10 ou une version ultérieure

  • PostGreSQL version 10.15 ou une version ultérieure

  • PostGreSQL version 9.6.20 ou une version ultérieure

  • PostGreSQL version 9.5.24 ou une version ultérieure

Solution de contournement

  • Il n’existe pas de solutions de contournement proposées à l’heure actuelle.

Liens