Vulnerability-Lookup

CERTA-2004-AVI-352

Vulnerability from certfr_avis - Published: 2004-10-21 - Updated: 2004-12-21

Une vulnérabilité découverte dans PostgreSQL permet à un utilisateur local, mal intentionné, de porter atteinte à l'intégrité des données présentes sur le système.

Description

PostgreSQL est un outil de base de données Open Source. Une vulnérabilité présente dans le script make_oidjoins_check permet à un utilisateur mal intentionné, ayant un accès local au système, de forcer la modification de fichiers avec les droits d'un autre utilisateur au moyen de liens symboliques habilement constitués.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation)

PostgreSQL 7.4.5-r1 et versions antérieures.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Bulletin de sécurité Gentoo GLSA-200410-16 du 18 octobre 2004	None	vendor-advisory
Annonce de sécurité PostgreSQL du 23 octobre 2004 :	-	other
Bulletin de sécurité FreeBSD pour postgresql-contrib du 06 novembre 2004 :	-	other
Bulletin de sécurité Debian DSA-577 du 29 octobre 2004 :	-	other
Bulletin de sécurité Red Hat RHSA-2004:489 du 20 décembre 2004 :	-	other
Bulletin de sécurité Mandrake MDKSA-2004:149 du 13 décembre 2004 :	-	other
Bulletin de sécurité Gentoo GLSA-200410-16 du 18 octobre 2004 :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003ePostgreSQL 7.4.5-r1 et versions ant\u00e9rieures.\u003c/P\u003e",
  "content": "## Description\n\nPostgreSQL est un outil de base de donn\u00e9es Open Source. Une\nvuln\u00e9rabilit\u00e9 pr\u00e9sente dans le script make_oidjoins_check permet \u00e0 un\nutilisateur mal intentionn\u00e9, ayant un acc\u00e8s local au syst\u00e8me, de forcer\nla modification de fichiers avec les droits d\u0027un autre utilisateur au\nmoyen de liens symboliques habilement constitu\u00e9s.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation)\n",
  "cves": [],
  "initial_release_date": "2004-10-21T00:00:00",
  "last_revision_date": "2004-12-21T00:00:00",
  "links": [
    {
      "title": "Annonce de s\u00e9curit\u00e9 PostgreSQL du 23 octobre 2004 :",
      "url": "http://www.postgresql.org/news/234.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 FreeBSD pour postgresql-contrib du 06    novembre 2004 :",
      "url": "http://www.vuxml.org/freebsd/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-577 du 29 octobre 2004 :",
      "url": "http://www.debian.org/security/2004/dsa-577"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2004:489 du 20 d\u00e9cembre    2004 :",
      "url": "http://rhn.redhat.com/errata/RHSA-2004-489.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:149 du 13 d\u00e9cembre    2004 :",
      "url": "http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:149"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200410-16 du 18 octobre    2004 :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200410-16.xml"
    }
  ],
  "reference": "CERTA-2004-AVI-352",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-10-21T00:00:00.000000"
    },
    {
      "description": "Mention de la r\u00e9ference CVE et de l\u0027annonce PostgreSQL. Ajout r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 de Debian, Mandrake et FreeBSD.",
      "revision_date": "2004-12-16T00:00:00.000000"
    },
    {
      "description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Red Hat.",
      "revision_date": "2004-12-21T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 d\u00e9couverte dans PostgreSQL permet \u00e0 un utilisateur\nlocal, mal intentionn\u00e9, de porter atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es\npr\u00e9sentes sur le syst\u00e8me.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans PostgreSQL",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200410-16 du 18 octobre 2004",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted