Vulnerabilidad en Postgres
Se ha detectado un problema de seguridad en Postgres cuya magnitud no sucedía desde 2006
Riesgo: Crítico
Con la vulnerabilidad detecta pueden suceder tres cosas:
- Denegación de Servicio: Los mensajes de error se pueden añadir a los archivos en el directorio de Postgres datos. Esto puede rellenar los discos, o hacer que Postgres se bloquee.
- Ajustes de Configuración de escalada de privilegios: Si tienen un acceso legítimo, y el nombre de usuario y el nombre de base de datos son idénticos, entonces ese usuario puede establecer una variable de configuración como superusuario.
- La ejecución de código arbitrario: El ‘boss level’ de las vulnerabilidades. Si pueden hacer las dos cosas de arriba, y puede guardar los archivos fuera del directorio de datos, entonces se puede ejecutar código C arbitrario.
Sistemas Afectados: Versiones 9.0, 9.1 y 9.2.
Referencias: CVE-2013-1899
Solución:Actualizar a una versión superior.
Notas: Thechangelog
FAQ