Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3851-1 postgresql-9.4

Bulletin d'alerte Debian

DSA-3851-1 postgresql-9.4 -- Mise à jour de sécurité

Date du rapport :

12 mai 2017

Paquets concernés :

postgresql-9.4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-7484, CVE-2017-7485, CVE-2017-7486.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le système de gestion de base de données PostgreSQL :

• CVE-2017-7484

  Robert Haas a découvert que certains estimateurs de sélectivité ne validaient pas les droits des utilisateurs ce qui pourrait avoir pour conséquence la divulgation d'informations.

• CVE-2017-7485

  Daniel Gustafsson a découvert que la variable d'environnement PGREQUIRESSL n'imposait plus une connexion TLS.

• CVE-2017-7486

  Andrew Wheelwright a découvert que les correspondances d'utilisateur ne bénéficiaient pas de restrictions suffisantes.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 9.4.12-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets postgresql-9.4.