Pour que cette faille soit exploitée, il faut avoir une connexion au serveur et un accès à la base PostgreSQL avec un compte authentifié.
https://www.cyberveille-sante.gouv.fr/alertes/postgresql-cve-2023-5869-2023-11-10
Gravité : 8.8 – CVSS:3.1
Une faille a été trouvée dans PostgreSQL qui permet aux utilisateurs de la base de données authentifiés d’exécuter du code arbitraire grâce à des contrôles de débordement manquants lors de la modification de la valeur du réseau SQL.
Ce problème existe en raison d’un débordement d’entier lors d’une modification du réseau où un utilisateur distant peut déclencher le débordement en fournissant des données spécialement conçues. Cela permet l’exécution de code arbitraire sur le système cible, permettant aux utilisateurs d’écrire des octets arbitraires en mémoire et de lire largement la mémoire du serveur.
Versions concernées
PostgreSQL versions 11, 12, 13, 14, 15 et 16
Résolution
L’éditeur de PostgreSQL a mis à disposition des nouvelles versions correctives :
Mettre à jour PostgreSQL 11 vers la version 11.22 ou ultérieure.
Mettre à jour PostgreSQL 12 vers la version 12.17 ou ultérieure.
Mettre à jour PostgreSQL 13 vers la version 13.13 ou ultérieure.
Mettre à jour PostgreSQL 14 vers la version 14.10 ou ultérieure.
Mettre à jour PostgreSQL 15 vers la version 15.5 ou ultérieure.
Mettre à jour PostgreSQL 16 vers la version 16.1 ou ultérieure.
https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/
/!\ La version PostgreSQL 12 ne sera plus maintenue à partir de novembre 2024.
Pour information, les versions Qlik de 2022 utilisent généralement PostgreSQL 12.5 et les versions Qlik 2023, PostgreSQL 14.8.
