Vulnérabilités dans PostGreSQL

Date de publication :

Plusieurs vulnérabilités ont été corrigées sur le système de gestion de base de données PostGreSQL dans la distribution Debian.

CVE-2019-10208[Score CVSS v3 : 8.8] : Cette vulnérabilité décrit la possibilité d'exécuter des instructions SQL arbitraires avec une fonction SECURITY DEFINER spécifique. Un attaquant distant et disposant de la permission EXECUTE sur la fonction, peut exécuter des commandes SQL arbitraires en tant que propriétaire de la fonction.

La CVE-2019-10164[Score CVSS v3 : 8.8] est présente dans le bulletin de sécurité de Debian et est traitée dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/1716-vulnerabilite-dans-postgresql-2020-03-30

La CVE-2020-14349[Score CVSS v3 : 7.1] également présente dans le bulletin de sécurité de Debian, est traitée dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/2002-vulnerabilites-dans-postgresql-2020-08-18

Les CVE-2020-25694[Score CVSS v3 : 8.1], CVE-2020-25695[Score CVSS v3 : 8.8] et la CVE-2020-25696[Score CVSS v3 : 7.5] sont également présentes dans le bulletin de sécurité de Debian, sont décrites dans le bulletin cyberveille santé suivant : https://www.cyberveille-sante.gouv.fr/cyberveille/2236-vulnerabilites-dans-postgresql-10-12-2020-12-03

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service
  • Atteinte à la confidentialité et la l’intégrité des données
  • Violation des politiques de sécurité

Criticité

  • Score CVSS v3 : 7.1; 7.5; 8.1; 8.8; 8.8; 8.8

Existence d’un code d’exploitation

  • Il n’existe pas de code d’exploitation publique à l’heure actuelle.

Composants vulnérables

  • PostgreSQL versions 12.x antérieures à 12.5
  • PostgreSQL versions 11.x antérieures à 11.10
  • PostgreSQL versions 10.x antérieures à 10.15
  • PostgreSQL versions 9.6.x antérieures à 9.6.20
  • PostgreSQL versions 9.5.x antérieures à 9.5.24

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Selon la version de PostGreSQL utilisée, il est nécessaire de mettre à jour le logiciel vers une des versions suivantes :

  • PostGreSQL version 12.5 ou une version ultérieure.

  • PostGreSQL version 11.10 ou une version ultérieure

  • PostGreSQL version 10.15 ou une version ultérieure

  • PostGreSQL version 9.6.20 ou une version ultérieure

  • PostGreSQL version 9.5.24 ou une version ultérieure

Solution de contournement

  • Il n’existe pas de solutions de contournement proposées à l’heure actuelle.

Liens