Vulnérabilités dans PostGreSQL 10 & 12
Date de publication :
Trois vulnérabilités impactant PostGreSQL 10 & 12 ont récemment été corrigées.
CVE-2020-25694[Score CVSS v3 : 8.1] : Si une application client crée de nouvelles connexions vers des bases de données en n'utilisant que les paramètres de connexion classique et en omettant les paramètres de sécurité, les transmissions créées dans ces conditions apparaissent en clair dans le trafic réseau et sont vulnérables à une attaque par l’homme du milieu.
CVE-2020-25695[Score CVSS v3 : 8.8] : Un attaquant distant, ayant la possibilité de créer des objets persistants dans au moins un schéma SQL de la base de données, à la possibilité d’exécuter des fonctions SQL arbitraire.
CVE-2020-25696[Score CVSS v3 : 7.5] : Si une session interactive psql utilise \gset lors d’une requête vers un serveur compromis/malveillant, un attaquant distant et non-authentifié peut exécuter du code arbitraire sur le dispositif qui héberge la session psql.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité et à l’intégrité des données
- Exécution de code arbitraire
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 7.5 ; 8.1 ; 8.8
Existence d’un code d’exploitation
- Il n’existe pas de code d'exploitation connu à ce jour.
Composants vulnérables
- Toutes les versions PostGreSQL de la version 9.5 à la version 13.0 sont vulnérables.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour PostGreSQL vers l’une des versions suivantes:
13.1, 12.5, 11.10, 10.15, 9.6.20 ou 9.5.24
Solution de contournement
Des solutions de contournement sont proposées dans les onglet “Mitigation” pour les CVEs suivantes :
Ici pour la CVE-2020-25695
Ici pour la CVE-2020-25696