AVIS CERTFR - 2021 - AVI - 663
Publié le 30 août 2021 à 18h45
Objet : Vulnérabilité dans l’extension set_user de PostgreSQL
Référence : CERTFR-2021-AVI-663
Risque(s)
- Élévation de privilèges
Systèmes affectés
- PostgreSQL set_user versions antérieures à 2.0.1
Résumé
Une vulnérabilité a été découverte dans l'extension set_user de PostgreSQL. Elle permet à un attaquant de provoquer une élévation de privilèges.
Note : l'extension 'set_user' permet d'autoriser une élévation de privilèges pour un utilisateur donné. La vulnérabilité permet d'altérer les privilèges initialement accordés.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité PostgreSQL du 28 août 2021
https://www.postgresql.org/about/news/set_user-201-released-2279/
- Référence CVE CVE-2021-38140
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38140
Dernière version de ce document