Projet

Général

Profil

Anomalie #22138

ANALYSE - PART - Remontée de vulnérabilité PostgreSQL

Ajouté par Arnaud PAUGET il y a plus d'un an. Mis à jour il y a plus d'un an.

Statut:
R&D - Terminé
Priorité:
1-Majeur
Assigné à:
Arnaud PAUGET
Version cible:
21.03
Début:
16/09/2022
Echéance:
04/10/2022
Version applicable MC:
Tags Courrier:

Description

Une vulnérabilité affectant plusieurs versions de PostgreSQL a été révélée mi-Août.
Nous demandons à ce qu'une analyse de cette vulnérabilité soit faite afin d'évaluer sa criticité dans l’environnement d'application Maarch Courrier.

Si cette vulnérabilité s'avère être majeure, une communication et procédure de mise à jour devra être faite à nos clients et partenaires.

Lien concernant la vulnérabilité :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-739/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1552
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2625

(En attente d'un ticket source)

Historique

#1 Mis à jour par Emmanuel DILLARD il y a plus d'un an

  • Echéance mis à 19/09/2022
  • Statut changé de A qualifier à R&D - A étudier
  • Version cible mis à 21.03

#3 Mis à jour par Emmanuel DILLARD il y a plus d'un an

  • Sujet changé de Remontée de vulnérabilité PostgreSQL à ANALYSE - PART - Remontée de vulnérabilité PostgreSQL
  • Echéance 19/09/2022 supprimé
  • Statut changé de R&D - A étudier à R&D - A planifier
  • Assigné à Emmanuel DILLARD supprimé
  • Priorité changé de 2-Sérieux à 0-Bloquant

#4 Mis à jour par Emmanuel DILLARD il y a plus d'un an

  • Echéance mis à 04/10/2022
  • Statut changé de R&D - A planifier à R&D - En cours
  • Priorité changé de 0-Bloquant à 1-Majeur

#5 Mis à jour par Quentin RIBAC il y a plus d'un an

  • Assigné à mis à Quentin RIBAC

#6 Mis à jour par Quentin RIBAC il y a plus d'un an

Pour clarifier https://www.postgresql.org/support/security/CVE-2022-2625/ :

L’attaque est réalisable via une extension PostgreSQL qui serait installée ou dont un membre serait utilisé via Maarch Courrier.

Maarch Courrier utilise une seule extension PostgreSQL : unaccent ; or celle-ci est créée et maintenue dans le dépôt git.postgresql.org :

https://git.postgresql.org/gitweb/?p=postgresql.git;a=tree;f=contrib/unaccent

Ainsi, il ne s’agit pas d’une extension vulnérable puisqu’elle est maintenue officiellement, est le produit Maarch Courrier n’est pas mis à mal par cette vulnérabilité, étant donné que les points d’accès SQL via l’application sont sécurisés, même pour les administrateurs fonctionnels.

Bien entendu, les mise-à-jour de sécurité des paquets des serveurs de base de données sont fortement recommandés.

#7 Mis à jour par Quentin RIBAC il y a plus d'un an

  • Statut changé de R&D - En cours à R&D - Terminé

#8 Mis à jour par Emmanuel DILLARD il y a plus d'un an

  • Assigné à changé de Quentin RIBAC à Arnaud PAUGET

Formats disponibles : Atom PDF