no way to compare when less than two revisions
Différences
Ci-dessous, les différences entre deux révisions de la page.
— | faq_correctif_20130404 [2013/04/04 22:47] (Version actuelle) – créée daamien | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ~~NOTOC~~ | ||
+ | |||
+ | ====== FAQ sur la mise à jour de sécurité du 4 avril 2013 ====== | ||
+ | |||
+ | <note information> | ||
+ | |||
+ | Bien que cette FAQ couvre la mise à jour du 4 avril 2013 en général, la majorité de son contenu se focalise sur la faille majeure de sécurité, corrigée dans cette version. La faille a pour identifiant CVE-2013-1899. | ||
+ | |||
+ | ===== Existe-t-il des exploitations connues et disponibles de cette vulnérabilité ? ===== | ||
+ | |||
+ | Il n' | ||
+ | |||
+ | ===== Qui est tout particulièrement vulnérable ? ===== | ||
+ | |||
+ | Tout système permettant un accès non restreint à un port réseau PostgreSQL, comme les utilisateurs de PostgreSQL sur un système cloud public, est vulnérable. Les utilisateurs dont les serveurs PostgreSQL ne sont accessibles que via des réseaux internes protégés ou qui ont des pare-feux ou des restrictions de leur accès réseau, sont moins vulnérables. | ||
+ | |||
+ | Une bonne règle de sécurité pour les bases de données : ne pas permettre l' | ||
+ | |||
+ | ===== Quelle est la nature de la vulnérabilité ? ===== | ||
+ | |||
+ | La faille autorise les utilisateurs à utiliser une option en ligne de commande pour une connexion PostgreSQL, utilisée normalement pour le mode de restauration mono-utilisateur alors que PostgreSQL fonctionne en mode normal, multi-utilisateurs. Ceci peut être utilisé pour endommager le serveur. | ||
+ | |||
+ | ===== Quelles exploitations potentielles sont permises par cette vulnérabilité ? ===== | ||
+ | |||
+ | * Déni de service permanent : un attaquant non autorisé peut utiliser cette vulnérabilité pour ajouter des messages d' | ||
+ | * Escalade des droits pour la configuration : dans le cas où un attaquant a un droit légitime à se connecter sur le serveur de bases de données et que le nom de l' | ||
+ | * Exécution de code arbitraire : si l' | ||
+ | |||
+ | ===== Quelles versions majeures de PostgreSQL sont affectées ? ===== | ||
+ | |||
+ | Versions 9.0, 9.1 et 9.2. | ||
+ | |||
+ | Les utilisateurs de version 8.4 ne sont pas affectés. Les utilisateurs des versions 8.3 et antérieures ne sont pas affectées par cette vulnérabilité mais sont concernées par toutes les vulnérabilités découvertes depuis que ces versions ne sont plus maintenues. | ||
+ | |||
+ | ===== Comment les utilisateurs peuvent-ils se protéger eux-même ? ===== | ||
+ | |||
+ | * Téléchargez la mise à jour et installez-la sur chaque serveur dès que possible | ||
+ | * Assurez-vous que PostgreSQL n' | ||
+ | * Auditez les utilisateurs des bases pour vous assurer que leur connexion nécessite une authentification et que les utilisateurs qui existent sont légitimes et utilisés | ||
+ | |||
+ | L' | ||
+ | |||
+ | ===== Qui a eu accès à l' | ||
+ | |||
+ | La vulnérabilité a été tout d' | ||
+ | |||
+ | Le PostgreSQL Global Development Group (PGDG) a, depuis plusieurs années, une politique lui permettant de donner accès à cette information et au correctif en premier lieu aux constructeurs de paquets binaires pour PostgreSQL (tels que les RPM et les installeurs Windows), pour que ces paquets soient disponibles lors de la sortie officielle. Ceci est vrai pour les versions mineures et majeures. Étant donné la prévalence de PostgreSQL-as-a-Service (PGaaS) comme mécanisme de distribution, | ||
+ | |||
+ | ===== Quand a été découvert cette vulnérabilité ? ===== | ||
+ | |||
+ | Cette vulnérabilité a été rapportée à l' | ||
+ | |||
+ | Nous avons rempli la fiche CVE, avec l'aide de l' | ||
+ | |||
+ | ===== Qui a découvert la vulnérabilité ? ===== | ||
+ | |||
+ | Mitsumasa Kondo et Kyotaro Horiguchi du NTT Open Source Software Center lors d'un audit de sécurité. NTT est un contributeur PostgreSQL de long terme. | ||
+ | |||
+ | ===== Comment a été rapportée cette vulnérabilité ? ===== | ||
+ | |||
+ | Kondo-san et Horiguchi-san ont envoyé un email à security@postgresql.org. | ||
+ | |||
+ | Comme indiqué par TechCrunch et Hacker News, certaines entités incluant le fournisseur de plate-forme cloud Heroku ont eu un accès rapide à cette information et au correctif. | ||
+ | |||
+ | ===== Pourquoi cela est-il arrivé ? ===== | ||
+ | |||
+ | Heroku a eu accès au source corrigeant la vulnérabilité en même temps que les autres constructeurs de paquets. Comme Heroku était tout particulièrement vulnérable, | ||
+ | |||
+ | ===== Qui a eu accès au code avant la sortie officielle ? ===== | ||
+ | |||
+ | Deux équipes communiquent sur des listes privées gérées par l' | ||
+ | |||
+ | ===== Comment des utilisateurs ayant de gros déploiements et des applications très sensibles peuvent-ils obtenir un accès rapide aux informations de sécurité ? ===== | ||
+ | |||
+ | Actuellement, | ||
+ | |||
+ | ===== Rendre le dépôt des sources inaccessible pendant le travail sur le correctif était-il une bonne décision ? ===== | ||
+ | |||
+ | Étant donné la sévérité de la vulnérabilité, | ||
+ | |||
+ | La procédure normale pour partager une information sur les versions de sécurité est d' | ||
+ | |||
+ | La réalisation des annonces et de la version était dépendante de la disponibilité des volontaires œuvrant à la construction des paquets et à celle des gestionnaires de versions. | ||
+ | |||
+ | ===== Comment le projet PostgreSQL est-il organisé ? ===== | ||
+ | |||
+ | Le PostgreSQL Global Development Group (PGDG) est une organisation globale gérée par des volontaires. Nous avons une équipe principale (la Core Team) composée de six personnes, un certain nombre de contributeurs majeurs et plusieurs listes de discussion qui sont la portion centralisée de notre communauté. [[http:// | ||
+ | |||
+ | ===== Comment sont ajoutés de nouveaux membres à l' | ||
+ | |||
+ | L' | ||
+ | |||
+ | ===== À quelle fréquence trouve-t-on des vulnérabilités dans PostgreSQL ? ===== | ||
+ | |||
+ | Nous avons entre zéro et sept problèmes mineurs de sécurité chaque année. C'est le premier problème de cette échelle depuis 2006 (un problème sur l' | ||
+ | |||
+ | ===== Comment a été introduite la vulnérabilité ? ===== | ||
+ | |||
+ | Il s'agit d'un effet de bord dû à une ré-écriture d'une portion de code afin d' | ||
+ | |||
+ | ===== Qui découvre les vulnérabilités dans PostgreSQL ? ===== | ||
+ | |||
+ | Nous avons la chance d' | ||
+ | |||
+ | * l' | ||
+ | * les chercheurs en sécurité de l' | ||
+ | * les chercheurs en sécurité de sociétés de sécurité comme Secunia | ||
+ | * le projet Coverity’s Scan | ||
+ | * et un grand nombre d' | ||
+ | |||
+ | ===== Que contient en plus cette version ? ===== | ||
+ | |||
+ | Elle corrige aussi quatre autres problèmes mineurs de sécurité, détaillés dans la page de sécurité et dans l' | ||