Origine : bjCSIRT

Numéro : 2024/ALERTE/018

Date de l’alerte : 29/03/2024

APERÇU :

Le pilote JDBC de PostgreSQL (PgJDBC) est affecté par une vulnérabilité de type Injection SQL permettant à un attaquant non authentifié de manipuler la base de données en envoyant des requêtes SQL spécifiquement forgées. 

DESCRIPTION 

Le pilote JDBC PostgreSQL permet aux programmes Java de se connecter à une base de données PostgreSQL en utilisant du code Java standard, indépendant du Système de Gestion de Bases de Données. Le pilote open source JDBC étant écrit en Java et multiplateforme, utilise le protocole réseau natif de PostgreSQL.

Il présente une vulnérabilité, libellée CVE-2024-1597, dont l’exploitation permettrait à un attaquant non authentifié, en envoyant des requêtes SQL spécifiquement forgées, de manipuler la base de données. Cela est dû à un défaut de contrôle des données envoyées par l’utilisateur à travers PgJDBC. Plus précisément, le driver est vulnérable lorsque le paramètre PreferQueryMode=SIMPLE est activé.

Cette vulnérabilité est classée critique avec un score CVSS3 de 9.8.

IMPACT :

• Atteinte à la confidentialité des données
• Atteinte à l’intégrité des données
• Déni de service

SYSTÈMES AFFECTÉS :

PostgreSQL JDBC Versions :

• antérieures à 42.2.28
• 42.3.x antérieures à 42.3.9
• 42.4.x antérieures à 42.4.4
• 42.5.x antérieures à 42.5.5
• 42.6.x antérieures à 42.6.1
• 42.7.x antérieures à 42.7.2

MESURES À PRENDRE :

Mettre à jour PostgreSQL JDBC vers la version 42.2.28, 42.2.28.jre7, 42.3.9, 42.4.4, 42.5.5, 42.6.1, 42.7.2 ou ultérieure.

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2024-1597
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1597
• https://www.postgresql.org/about/news/postgresql-jdbc-4272-4261-4255-4244-4239-42228-and-42228jre7-security-update-for-cve-2024-1597-2812/