vulnerabilidades que permiten que un atacante remoto con acceso a la
base de datos pueda ejecutar código arbitrario en el servidor, con los
privilegios del usuario bajo el que corre la base de datos.
PostgreSQL es una base de datos relacional "Open Source", bastante
popular en el mundo UNIX, junto a MySQL. Se trata de una base de datos
rápida y de muy buena calidad.
Las versiones de PostgreSQL previas a la 7.2.2 contienen varios
desbordamientos de búfer que permiten que un atacante remoto con acceso
a la base de datos pueda ejecutar código arbitrario en el servidor.
Los problemas residen en:
- Gestión de fechas largas.
- Comando "repeat()".
- Comandos "lpad()" y "rpad()" con multibyte.
- En el comando "SET TIME ZONE" y la variable de entorno "TZ".
La recomendación es actualizar a PostgreSQL 7.2.2 cuanto antes.
Jesús Cea Avión
jcea@hispasec.com
jcea@hispasec.com
Más información:
PostgreSQL
http://www.postgresql.org/
2002-08-24 - PostgreSQL 7.2.2: Security Release
http://www.il.postgresql.org/news.html
Buffer overflow in PostgreSQL
http://online.securityfocus.com/archive/1/288305
Two buffer overflows in PostgreSQL
http://online.securityfocus.com/archive/1/288334
No hay comentarios:
Publicar un comentario