Projet

Général

Profil

Actions

Anomalie #22138

fermé

ANALYSE - PART - Remontée de vulnérabilité PostgreSQL

Ajouté par Arnaud PAUGET il y a plus de 2 ans. Mis à jour il y a environ 2 ans.

Statut:
R&D - Terminé
Priorité:
1-Majeur
Assigné à:
Version cible:
Début:
16/09/2022
Echéance:
04/10/2022

Description

Une vulnérabilité affectant plusieurs versions de PostgreSQL a été révélée mi-Août.
Nous demandons à ce qu'une analyse de cette vulnérabilité soit faite afin d'évaluer sa criticité dans l’environnement d'application Maarch Courrier.

Si cette vulnérabilité s'avère être majeure, une communication et procédure de mise à jour devra être faite à nos clients et partenaires.

Lien concernant la vulnérabilité :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-739/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1552
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2625

(En attente d'un ticket source)

Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

  • Echéance mis à 19/09/2022
  • Statut changé de A qualifier à R&D - A étudier
  • Version cible mis à 21.03

Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

  • Sujet changé de Remontée de vulnérabilité PostgreSQL à ANALYSE - PART - Remontée de vulnérabilité PostgreSQL
  • Echéance 19/09/2022 supprimé
  • Statut changé de R&D - A étudier à R&D - A planifier
  • Assigné à Emmanuel DILLARD supprimé
  • Priorité changé de 2-Sérieux à 0-Bloquant

Mis à jour par Emmanuel DILLARD il y a plus de 2 ans

  • Echéance mis à 04/10/2022
  • Statut changé de R&D - A planifier à R&D - En cours
  • Priorité changé de 0-Bloquant à 1-Majeur

Mis à jour par Quentin RIBAC il y a environ 2 ans

  • Assigné à mis à Quentin RIBAC

Mis à jour par Quentin RIBAC il y a environ 2 ans

Pour clarifier https://www.postgresql.org/support/security/CVE-2022-2625/ :

L’attaque est réalisable via une extension PostgreSQL qui serait installée ou dont un membre serait utilisé via Maarch Courrier.

Maarch Courrier utilise une seule extension PostgreSQL : unaccent ; or celle-ci est créée et maintenue dans le dépôt git.postgresql.org :

https://git.postgresql.org/gitweb/?p=postgresql.git;a=tree;f=contrib/unaccent

Ainsi, il ne s’agit pas d’une extension vulnérable puisqu’elle est maintenue officiellement, est le produit Maarch Courrier n’est pas mis à mal par cette vulnérabilité, étant donné que les points d’accès SQL via l’application sont sécurisés, même pour les administrateurs fonctionnels.

Bien entendu, les mise-à-jour de sécurité des paquets des serveurs de base de données sont fortement recommandés.

Mis à jour par Quentin RIBAC il y a environ 2 ans

  • Statut changé de R&D - En cours à R&D - Terminé

Mis à jour par Emmanuel DILLARD il y a environ 2 ans

  • Assigné à changé de Quentin RIBAC à Arnaud PAUGET
Actions

Formats disponibles : Atom PDF