Anomalie #22138
ferméANALYSE - PART - Remontée de vulnérabilité PostgreSQL
Description
Une vulnérabilité affectant plusieurs versions de PostgreSQL a été révélée mi-Août.
Nous demandons à ce qu'une analyse de cette vulnérabilité soit faite afin d'évaluer sa criticité dans l’environnement d'application Maarch Courrier.
Si cette vulnérabilité s'avère être majeure, une communication et procédure de mise à jour devra être faite à nos clients et partenaires.
Lien concernant la vulnérabilité :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-739/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1552
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2625
(En attente d'un ticket source)
Mis à jour par Emmanuel DILLARD il y a environ 2 ans
- Echéance mis à 19/09/2022
- Statut changé de A qualifier à R&D - A étudier
- Version cible mis à 21.03
Mis à jour par Emmanuel DILLARD il y a environ 2 ans
- Sujet changé de Remontée de vulnérabilité PostgreSQL à ANALYSE - PART - Remontée de vulnérabilité PostgreSQL
- Echéance
19/09/2022supprimé - Statut changé de R&D - A étudier à R&D - A planifier
- Assigné à
Emmanuel DILLARDsupprimé - Priorité changé de 2-Sérieux à 0-Bloquant
Mis à jour par Emmanuel DILLARD il y a environ 2 ans
- Echéance mis à 04/10/2022
- Statut changé de R&D - A planifier à R&D - En cours
- Priorité changé de 0-Bloquant à 1-Majeur
Mis à jour par Quentin RIBAC il y a environ 2 ans
Pour clarifier https://www.postgresql.org/support/security/CVE-2022-2625/ :
L’attaque est réalisable via une extension PostgreSQL qui serait installée ou dont un membre serait utilisé via Maarch Courrier.
Maarch Courrier utilise une seule extension PostgreSQL : unaccent ; or celle-ci est créée et maintenue dans le dépôt git.postgresql.org :
https://git.postgresql.org/gitweb/?p=postgresql.git;a=tree;f=contrib/unaccent
Ainsi, il ne s’agit pas d’une extension vulnérable puisqu’elle est maintenue officiellement, est le produit Maarch Courrier n’est pas mis à mal par cette vulnérabilité, étant donné que les points d’accès SQL via l’application sont sécurisés, même pour les administrateurs fonctionnels.
Bien entendu, les mise-à-jour de sécurité des paquets des serveurs de base de données sont fortement recommandés.
Mis à jour par Quentin RIBAC il y a environ 2 ans
- Statut changé de R&D - En cours à R&D - Terminé
Mis à jour par Emmanuel DILLARD il y a environ 2 ans
- Assigné à changé de Quentin RIBAC à Arnaud PAUGET