L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de PostgreSQL

bulletin de vulnérabilité informatique CVE-2018-16850

PostgreSQL : injection SQL via pg_upgrade/pg_dump

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL via pg_upgrade/pg_dump de PostgreSQL, afin de lire ou modifier des données.
Produits concernés : Debian, Unisphere EMC, openSUSE Leap, PostgreSQL, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 08/11/2018.
Date révision : 09/11/2018.
Références : 528379, CVE-2018-16850, DLA-1642-1, DSA-2018-208, openSUSE-SU-2018:3893-1, openSUSE-SU-2018:4031-1, RHSA-2018:3757-01, SUSE-SU-2018:3770-1, SUSE-SU-2018:3770-2, USN-3818-1, VIGILANCE-VUL-27738.

Description de la vulnérabilité

Le produit PostgreSQL utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL via pg_upgrade/pg_dump de PostgreSQL, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-10925

PostgreSQL : obtention d'information via CONFLICT DO UPDATE

Synthèse de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via CONFLICT DO UPDATE de PostgreSQL, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Unisphere EMC, Fedora, openSUSE Leap, PostgreSQL, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 10/08/2018.
Références : 528379, CVE-2018-10925, DSA-2018-208, DSA-4269-1, FEDORA-2018-d8f5aea89d, openSUSE-SU-2018:2599-1, openSUSE-SU-2018:3449-1, RHSA-2018:2511-01, RHSA-2018:2565-01, RHSA-2018:2566-01, SUSE-SU-2018:2564-1, SUSE-SU-2018:3377-1, USN-3744-1, VIGILANCE-VUL-26960.

Description de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via CONFLICT DO UPDATE de PostgreSQL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-10915

PostgreSQL : élévation de privilèges via Libpq Host Connection Parameters

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Libpq Host Connection Parameters de PostgreSQL, afin d'élever ses privilèges.
Produits concernés : Debian, Unisphere EMC, Fedora, openSUSE Leap, PostgreSQL, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client intranet.
Date création : 10/08/2018.
Références : 528379, CVE-2018-10915, DLA-1464-1, DSA-2018-208, DSA-4269-1, FEDORA-2018-d8f5aea89d, openSUSE-SU-2018:2599-1, openSUSE-SU-2018:3449-1, openSUSE-SU-2018:4007-1, RHSA-2018:2511-01, RHSA-2018:2557-01, RHSA-2018:2565-01, RHSA-2018:2566-01, SUSE-SU-2018:2564-1, SUSE-SU-2018:3287-1, SUSE-SU-2018:3377-1, SUSE-SU-2018:3909-1, USN-3744-1, VIGILANCE-VUL-26959.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Libpq Host Connection Parameters de PostgreSQL, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-1115

PostgreSQL : rotation de log via adminpack pg_logfile_rotate

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via adminpack pg_logfile_rotate() de PostgreSQL, afin de faire tourner les logs.
Produits concernés : Fedora, openSUSE Leap, PostgreSQL, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : création/modification de données, effacement de données.
Provenance : shell utilisateur.
Date création : 11/05/2018.
Références : CVE-2018-1115, FEDORA-2018-08550a9006, FEDORA-2018-937c789f2a, FEDORA-2018-bd6f9237b5, openSUSE-SU-2018:1709-1, openSUSE-SU-2018:1900-1, openSUSE-SU-2018:2599-1, RHSA-2018:2565-01, RHSA-2018:2566-01, SUSE-SU-2018:1695-1, SUSE-SU-2018:2564-1, VIGILANCE-VUL-26093.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via adminpack pg_logfile_rotate() de PostgreSQL, afin de faire tourner les logs.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-1058

PostgreSQL : élévation de privilèges via les chemins de recherche de fonctions

Synthèse de la vulnérabilité

Un attaquant peut définir des fonctions SQL de même nom que les routines intégrées de PostgreSQL, afin de les faire exécuter par d'autres utilisateurs avec leurs propres privilèges.
Produits concernés : Fedora, openSUSE Leap, PostgreSQL, RHEL, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 02/03/2018.
Références : CVE-2018-1058, FEDORA-2018-2999cf6426, FEDORA-2018-a32082df51, openSUSE-SU-2018:0736-1, openSUSE-SU-2018:0765-1, openSUSE-SU-2018:0890-1, RHSA-2018:2511-01, RHSA-2018:2566-01, USN-3589-1, VIGILANCE-VUL-25416.

Description de la vulnérabilité

Un attaquant peut définir des fonctions SQL de même nom que les routines intégrées de PostgreSQL, afin de les faire exécuter par d'autres utilisateurs avec leurs propres privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-1052

PostgreSQL : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de PostgreSQL, afin d'obtenir des informations sensibles.
Produits concernés : PostgreSQL.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 09/02/2018.
Références : CVE-2018-1052, VIGILANCE-VUL-25265.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de PostgreSQL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-1053

PostgreSQL : compromission de mots de passe via pg_upgrade

Synthèse de la vulnérabilité

L'outil pg_upgrade crée des fichiers temporaires contenant des mots de passe et dont la lecture est autorisée pour tout le monde.
Produits concernés : Debian, openSUSE Leap, PostgreSQL, RHEL, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 08/02/2018.
Références : CVE-2018-1053, DLA-1271-1, openSUSE-SU-2018:0523-1, openSUSE-SU-2018:0529-1, openSUSE-SU-2018:0688-1, RHSA-2018:2511-01, RHSA-2018:2566-01, USN-3564-1, VIGILANCE-VUL-25242.

Description de la vulnérabilité

L'outil pg_upgrade crée des fichiers temporaires contenant des mots de passe et dont la lecture est autorisée pour tout le monde.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-12172 CVE-2017-15098 CVE-2017-15099

PostgreSQL : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de PostgreSQL.
Produits concernés : Debian, Fedora, Junos Space, openSUSE Leap, PostgreSQL, RHEL, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 09/11/2017.
Références : CVE-2017-12172, CVE-2017-15098, CVE-2017-15099, DSA-4027-1, DSA-4028-1, FEDORA-2017-0188f21212, FEDORA-2017-1f1fdab532, FEDORA-2017-783a436ee8, JSA10838, openSUSE-SU-2017:3425-1, openSUSE-SU-2018:0095-1, openSUSE-SU-2018:0529-1, RHSA-2017:3402-01, RHSA-2017:3403-01, RHSA-2017:3404-01, RHSA-2017:3405-01, RHSA-2018:2511-01, RHSA-2018:2566-01, USN-3479-1, VIGILANCE-VUL-24405.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de PostgreSQL.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-7546 CVE-2017-7547 CVE-2017-7548

PostgreSQL : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de PostgreSQL.
Produits concernés : Debian, Fedora, openSUSE Leap, PostgreSQL, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 10/08/2017.
Références : CVE-2017-7546, CVE-2017-7547, CVE-2017-7548, DLA-1051-1, DSA-3935-1, DSA-3936-1, FEDORA-2017-9148fe36b9, FEDORA-2017-d9cac37bd8, FEDORA-2017-f9e66916ec, openSUSE-SU-2017:2306-1, openSUSE-SU-2017:2391-1, openSUSE-SU-2017:2392-1, openSUSE-SU-2018:0529-1, RHSA-2017:2677-01, RHSA-2017:2678-01, RHSA-2017:2728-01, RHSA-2017:2860-01, SUSE-SU-2017:2236-1, SUSE-SU-2017:2258-1, SUSE-SU-2017:2355-1, SUSE-SU-2017:2356-1, USN-3390-1, VIGILANCE-VUL-23493.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans PostgreSQL.

Un attaquant peut contourner les mesures de sécurité via Libpq Empty Passwords, afin d'élever ses privilèges. [grav:2/4; CVE-2017-7546]

Un attaquant peut contourner les mesures de sécurité via pg_user_mappings.umoptions, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-7547]

Un attaquant peut contourner les mesures de sécurité via lo_put(), afin d'élever ses privilèges. [grav:2/4; CVE-2017-7548]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-7484 CVE-2017-7485 CVE-2017-7486

PostgreSQL : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de PostgreSQL.
Produits concernés : Debian, Fedora, openSUSE Leap, PostgreSQL, RHEL.
Gravité : 2/4.
Conséquences : accès/droits privilégié, lecture de données.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 11/05/2017.
Références : CVE-2017-7484, CVE-2017-7485, CVE-2017-7486, DLA-1051-1, DSA-3851-1, FEDORA-2017-0d5817efc0, FEDORA-2017-4de07172f4, FEDORA-2017-a8f4562bf5, openSUSE-SU-2017:1495-1, openSUSE-SU-2017:1772-1, RHSA-2017:1677-01, RHSA-2017:1678-01, RHSA-2017:1983-01, VIGILANCE-VUL-22714.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans PostgreSQL.

Un attaquant peut contourner les mesures de sécurité via Selectivity Estimators, afin d'élever ses privilèges. [grav:2/4; CVE-2017-7484]

Un attaquant peut se positionner en Man-in-the-Middle via libpq, afin de lire ou modifier des données de la session. [grav:2/4; CVE-2017-7485]

Un attaquant peut contourner les mesures de sécurité via pg_user_mappings, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-7486]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur PostgreSQL :