viernes, 5 de abril de 2013

Varios fallos en PostgreSQL desde 8.3 a la 9.2




En PostgreSQL 8.4 se han descubierto tres vulnerabilidades. Una de ellas, con CVE-2013-1900, se pgcrypto', error por el cual los números generados podrían ser predecibles por otro usuario de la base de datos. El segundo, con CVE-2013-1902, permitiría predecir nombres de archivos creados temporalmente y sólo afecta a las versiones de Linux y Mac OS X. Por último, con CVE-2013-1903, una vulnerabilidad que proporciona la contraseña de super-usuario a scripts relacionados con los instaladores gráficos en Linux y Mac OS X. Estas dos últimas también afectan a la versión 8.3
encuentra en el generador de números pseudoaleatorios '

En PostgreSQL 9.1 y 9.2 se han descubierto dos vulnerabilidades más, además de las anteriormente indicadas. El primero, con CVE-2013-1899, descubierto por Mitsumasa Kondo y Kyotaro Horiguchi permite corromper y/o destruir archivos pertenecientes a la base de datos con tan solo hacer una petición de conexión anteponiendo al nombre de la tabla un guión ("-"). Cualquier persona con acceso al puerto en el que se ejecute el servidor PostgreSQL, aunque no tenga credenciales de autenticación, puede llevar a cabo el ataque. El segundo error, con CVE-2013-1901, podría permitir a un usuario sin autenticar ejecutar comandos que interfirieran con la copia de seguridad de la base de datos.

Se han publicado actualizaciones para corregir los problemas encontrados, disponibles desde la página de PostgreSQL http://www.postgresql.org/

Más información:

PostgreSQL - 2013-04-04 Security Release FAQ




Antonio Sánchez

No hay comentarios:

Publicar un comentario en la entrada