Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

05/04/2013

Vulnerabilidad en Postgres

Se ha detectado un problema de seguridad en Postgres cuya magnitud no sucedía desde 2006

Con la vulnerabilidad detecta pueden suceder tres cosas:

• Denegación de Servicio: Los mensajes de error se pueden añadir a los archivos en el directorio de Postgres datos. Esto puede rellenar los discos, o hacer que Postgres se bloquee.
• Ajustes de Configuración de escalada de privilegios: Si tienen un acceso legítimo, y el nombre de usuario y el nombre de base de datos son idénticos, entonces ese usuario puede establecer una variable de configuración como superusuario.
• La ejecución de código arbitrario: El ‘boss level’ de las vulnerabilidades. Si pueden hacer las dos cosas de arriba, y puede guardar los archivos fuera del directorio de datos, entonces se puede ejecutar código C arbitrario.

Sistemas Afectados:

Versiones 9.0, 9.1 y 9.2.

Referencias:

CVE-2013-1899

Solución:

Actualizar a una versión superior.

Notas:

Thechangelog
FAQ

CSIRT-CV