Se
han anunciado diversas
vulnerabilidades en diferentes versiones del popular motor de base de datos
PostgreSQL.
En PostgreSQL 8.4 se han
descubierto tres vulnerabilidades. Una de ellas, con CVE-2013-1900, se
pgcrypto', error por el cual los números generados podrían ser
predecibles por otro usuario de la base de datos. El segundo, con CVE-2013-1902,
permitiría predecir nombres de archivos creados temporalmente y sólo afecta a
las versiones de Linux y Mac OS X. Por último, con CVE-2013-1903, una
vulnerabilidad que proporciona la contraseña de super-usuario a scripts
relacionados con los instaladores gráficos en Linux y Mac OS X. Estas dos
últimas también afectan a la versión 8.3
En PostgreSQL 9.1 y 9.2 se han
descubierto dos vulnerabilidades más, además de las anteriormente indicadas. El
primero, con CVE-2013-1899, descubierto por Mitsumasa Kondo y Kyotaro Horiguchi
permite corromper y/o destruir archivos pertenecientes a la base de datos con
tan solo hacer una petición de conexión anteponiendo al nombre de la tabla un
guión ("-"). Cualquier persona con acceso al puerto en el que se ejecute
el servidor PostgreSQL, aunque no tenga credenciales de autenticación, puede llevar
a cabo el ataque. El segundo error, con CVE-2013-1901, podría permitir a un
usuario sin autenticar ejecutar comandos que interfirieran con la copia de seguridad
de la base de datos.
Se han publicado actualizaciones
para corregir los problemas encontrados, disponibles desde la página de
PostgreSQL http://www.postgresql.org/
Más información:
PostgreSQL - 2013-04-04 Security
Release FAQ
Antonio Sánchez
No hay comentarios:
Publicar un comentario