lunes, 23 de marzo de 2009

Denegación de servicio en PostgreSQL

Se ha anunciado una vulnerabilidad en PostgreSQL (versiones 8.x y 7.4) que podría ser aprovechada por un atacante para provocar una denegación de servicio.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.

El problema se debe a un fallo en la conversión de un mensaje de error localizado a la codificación especificada por el cliente, lo que podría permitir a atacantes autenticados provocar la caída del servidor a través de peticiones de conversión de codificación específicamente construidas.

Se recomienda actualizar a PostgreSQL versión 8.3.7, 8.2.13, 8.1.17, 8.0.21 o 7.4.25, disponibles desde:
http://www.postgresql.org/download


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

CVE-2009-0922
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0922

BUG #4680: Server crashed if using wrong (mismatch) conversion functions
http://archives.postgresql.org/pgsql-bugs/2009-02/msg00172.php

No hay comentarios:

Publicar un comentario en la entrada