Bonjour, Cet annonce de sécurité a été publiée. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="8d0f3f513643db311367760f031cb36332721444" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>* <a href="https://security-tracker.debian.org/tracker/CVE-2019-10208">CVE-2019-10208</a> : « TYPE » dans « pg_temp » exécute des SQL arbitraires lors de lâexécution de « SECURITY DEFINER »</p> <p>Versions affectées : 9.4 - 11</p> <p>Ãtant donné une fonction appropriée « SECURITY DEFINER », un attaquant peut exécuter des SQL arbitraires sous lâidentité du possesseur de la fonction. Une attaque requiert la permission « EXECUTE » pour la fonction qui elle-même doit contenir un appel de fonction avec une correspondance inexacte dâarguments de type. Par exemple, « length('foo'::varchar) » et « length('foo') » est inexact tandis que « length('foo'::text) » est exact. Dans le cadre dâexploitation de cette vulnérabilité, lâattaquant utilise « CREATE DOMAIN » pour créer un type dans un schéma « pg_temp ». Les modèle et correctif dâattaque sont similaires à ceux de <a href="https://security-tracker.debian.org/tracker/CVE-2007-2138">CVE-2007-2138</a>.</p> <p>Lâécriture de fonctions « SECURITY DEFINER » continue dâexiger de suivre les considérations notées dans la documentation :</p> <p>https://www.postgresql.org/docs/devel/sql-createfunction.html#SQL-CREATEFUNCTION-SECURITY</p> <p>Le projet PostgreSQL remercie Tom Lane pour le signalement de ce problème.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 9.4.24-0+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets postgresql-9.4.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1874.data" # $Id: $