Origine : bjCSIRT
Numéro : 2024/ALERTE/080
Date de l’alerte : 26/11/2024
APERÇU :
De multiples vulnérabilités ont été découvertes dans PostgreSQL permettant à un acteur malveillant de provoquer une exécution de code arbitraire sur un système vulnérable.
DESCRIPTION :
PostgreSQL est un système de gestion de base de données relationnelle open source qui utilise SQL pour manipuler des données.
Ce système présente plusieurs vulnérabilités libellées comme suit :
CVE-2024-10979 : cette vulnérabilité a été détectée dans l’extension PL/Perl de PostgreSQL. Elle résulte d’un contrôle inadéquat des variables d’environnement, permettant à un utilisateur malveillant non privilégié de redéfinir des variables sensibles des processus de session PostgreSQL, comme la variable PATH. Cela pourrait compromettre la sécurité du système de base de données et offrir des opportunités d’élévation de privilèges. Cette vulnérabilité est classée critique, avec un score 8.8 selon le CVSS : 3.1.
CVE-2024-10978 : Cette vulnérabilité résulte d’une gestion inadéquate des privilèges utilisateur lors de l’utilisation des commandes SET ROLE et SET SESSION AUTHORIZATION. Elle permettrait à un utilisateur malveillant disposant de privilèges restreints de modifier son rôle via SET ROLE, accédant ainsi à des données sensibles. De plus, en manipulant les autorisations avec SET SESSION AUTHORIZATION, l’acteur malveillant pourrait effectuer des actions ou accéder à des données réservées aux administrateurs. Cette vulnérabilité est classée moyenne avec un score 4.2 selon le CVSS : 3.1.
IMPACT :
- Atteinte à l’intégrité des données ;
- Exécution de code arbitraire à distance ;
- Elévation de privilèges.
SYSTÈMES AFFECTÉS :
- PostgreSQL versions 12.x antérieures à 12.21
- PostgreSQL versions 13.x antérieures à 13.17
- PostgreSQL versions 14.x antérieures à 14.14
- PostgreSQL versions 15.x antérieures à 15.9
- PostgreSQL versions 16.x antérieures à 16.5
- PostgreSQL versions 17.x antérieures à 17.1
MESURES À PRENDRE :
Mettre à jour vers les versions 12.21 13.17 14.14 15.9 16.5 17.1 ou ultérieures.
RÉFÉRENCES :
- https://www.cve.org/CVERecord?id=CVE-2024-10979
- https://thehackernews.com/2024/11/high-severity-flaw-in-postgresql-allows.html
- https://www.cve.org/CVERecord?id=CVE-2024-10978
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0987/