lunes, 21 de mayo de 2012

Actualización de PostgreSQL para Red Hat Enterprise Linux server 5 y 6

Red Hat ha publicado dos actualizaciones, con importancia moderada, de los paquetes de "postgresql" y "postgresql84" para las versiones 5 y 6 de su producto Enterprise Linux Server.

La primera actualización, con código RHSA-2012:0677-1, afecta al paquete "postgresql" de la versión 5 de Red Hat Enterprise Linux Server y contiene la corrección de las siguiente vulnerabilidades:

* CVE-2012-0868: Un error de filtrado al generar un fichero con 'pg_dump' que podría ser aprovechado por un atacante remoto para ejecutar código SQL arbitrario y conseguir escalar privilegios.

* CVE-2012-0866: Debido a una falta de comprobación de permisos en los disparadores (triggers) en 'PostgreSQL' un atacante remoto podría ejecutar funciones para las que no tiene permisos usando un disparador especialmente manipulado para ello.

La segunda actualización, con código RHSA-2012:0678-1, afecta a los paquetes "postgresql84", para la versión 5, y "postgresql", para la versión 6 de Red Hat Enterprise Linux Server.  En esta se corrigen también las vulnerabilidades anteriores (CVE-2012-0868 y CVE-2012-0866) además de la siguiente:

* CVE-2012-0867: A causa de un error de validación del campo "Common Name" un atacante remoto podría llegar a suplantar la identidad de una entidad legítima usando un certificado especialmente manipulado. Red Hat recomienda actualizar los sistemas afectados vía Red Hat Network:
http://rhn.redhat.com/

Más información:

Moderate: postgresql security update
https://rhn.redhat.com/errata/RHSA-2012-0677.html

Moderate: postgresql and postgresql84 security update
https://rhn.redhat.com/errata/RHSA-2012-0678.html


Daniel Vaca
dvaca@hispasec.com

Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017