Vulnérabilité dans PostgreSQL
Date de publication :
Une vulnérabilité importante a été corrigée dans PostgreSQL, un système de gestion de base de données. Elle peut permettre à un attaquant de provoquer un déni de service et d’exécuter du code arbitraire à distance.
CVE-2019-10164 [Score CVSS v3 : 8.8] : Plusieurs versions de PostgreSQL sont vulnérables à un débordement de tampon dans la pile (stack-based buffer overflow). N’importe quel utilisateur authentifié peut créer un débordement de tampon en changeant son mot de passe pour une valeur spécialement forgée. Cette vulnérabilité peut permettre à un attaquant de provoquer un déni de service ou d’exécuter du code arbitraire à distance.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire à distance
- Déni de service
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- PostgreSQL versions 10.x avant la 10.9
- PostgreSQL versions 11.x avant la 11.4
CVE
- CVE-2019-10164
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour PostgreSQL vers une version non vulnérable (10.9 ou supérieure, 11.4 ou supérieure)
Solution de contournement
Aucune solution de contournement n’est disponible