Se han anunciado diversas vulnerabilidades en diferentes versiones del popular motor de base de datos PostgreSQL.

encuentra en el generador de números pseudoaleatorios ‘
En PostgreSQL 9.1 y 9.2 se han descubierto dos vulnerabilidades más, además de las anteriormente indicadas. El primero, con CVE-2013-1899, descubierto por Mitsumasa Kondo y Kyotaro Horiguchi permite corromper y/o destruir archivos pertenecientes a la base de datos con tan solo hacer una petición de conexión anteponiendo al nombre de la tabla un guión («-«). Cualquier persona con acceso al puerto en el que se ejecute el servidor PostgreSQL, aunque no tenga credenciales de autenticación, puede llevar a cabo el ataque. El segundo error, con CVE-2013-1901, podría permitir a un usuario sin autenticar ejecutar comandos que interfirieran con la copia de seguridad de la base de datos.
Se han publicado actualizacionespara corregir los problemas encontrados, disponibles desde la página de PostgreSQL http://www.postgresql.org/
Más información:
PostgreSQL – 2013-04-04 Security Release FAQ
Antonio Sánchez
Deja una respuesta