Project

General

Profile

Anomalie #22138

ANALYSE - PART - Remontée de vulnérabilité PostgreSQL

Added by Arnaud PAUGET 3 months ago. Updated 2 months ago.

Status:
Développé / Analysé (S)
Priority:
1-Majeur
Assignee:
Target version:
Start date:
09/16/2022
Due date:
10/04/2022
Tags Courrier:

Description

Une vulnérabilité affectant plusieurs versions de PostgreSQL a été révélée mi-Août.
Nous demandons à ce qu'une analyse de cette vulnérabilité soit faite afin d'évaluer sa criticité dans l’environnement d'application Maarch Courrier.

Si cette vulnérabilité s'avère être majeure, une communication et procédure de mise à jour devra être faite à nos clients et partenaires.

Lien concernant la vulnérabilité :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-739/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1552
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2625

(En attente d'un ticket source)

History

#1 Updated by Emmanuel DILLARD 3 months ago

  • Due date set to 09/19/2022
  • Status changed from A qualifier to A étudier
  • Target version set to 21.03

#3 Updated by Emmanuel DILLARD 3 months ago

  • Subject changed from Remontée de vulnérabilité PostgreSQL to ANALYSE - PART - Remontée de vulnérabilité PostgreSQL
  • Due date deleted (09/19/2022)
  • Status changed from A étudier to Prêt à embarquer
  • Assignee deleted (Emmanuel DILLARD)
  • Priority changed from 2-Sérieux to 0-Bloquant

#4 Updated by Emmanuel DILLARD 3 months ago

  • Due date set to 10/04/2022
  • Status changed from Prêt à embarquer to En cours de dev (S)
  • Priority changed from 0-Bloquant to 1-Majeur

#5 Updated by Quentin RIBAC 3 months ago

  • Assignee set to Quentin RIBAC

#6 Updated by Quentin RIBAC 2 months ago

Pour clarifier https://www.postgresql.org/support/security/CVE-2022-2625/ :

L’attaque est réalisable via une extension PostgreSQL qui serait installée ou dont un membre serait utilisé via Maarch Courrier.

Maarch Courrier utilise une seule extension PostgreSQL : unaccent ; or celle-ci est créée et maintenue dans le dépôt git.postgresql.org :

https://git.postgresql.org/gitweb/?p=postgresql.git;a=tree;f=contrib/unaccent

Ainsi, il ne s’agit pas d’une extension vulnérable puisqu’elle est maintenue officiellement, est le produit Maarch Courrier n’est pas mis à mal par cette vulnérabilité, étant donné que les points d’accès SQL via l’application sont sécurisés, même pour les administrateurs fonctionnels.

Bien entendu, les mise-à-jour de sécurité des paquets des serveurs de base de données sont fortement recommandés.

#7 Updated by Quentin RIBAC 2 months ago

  • Status changed from En cours de dev (S) to Développé / Analysé (S)

#8 Updated by Emmanuel DILLARD 2 months ago

  • Assignee changed from Quentin RIBAC to Arnaud PAUGET

Also available in: Atom PDF