Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/02/2012
1) Un error a causa de comprovar els permisos de CREATE TRIGGER en una funció de disparador podria ser aprofitat per a realitzar una funció de disparador com SECURITY DEFINER, cosa que li concediria permisos d’EXECUTE.
2) Un error quan es verifica el nom comú (CN) en els certificats SSL trunca incorrectament el nom a 32 caràcters, cosa que podria derivar en una verificació correcta de certificats falsificats.
3) Un error en el sanejament de les dades d’entrada en pg_dump quan s’inserixen noms d’objecte en comentaris podria ser aprofitat per a interrompre comentaris a través de caràcters especials i inserir ordes SQL en un script d’abocament.
Les vulnerabilitats s’han reportat en versions anteriors a 9.1.3, 9.0.7, 8.4.11 i 8.3.18.
Sistemes Afectats:PostgreSQL 8.x
PostgreSQL 9.x
CVE-2012-0866, CVE-2012-0867, CVE-2012-0868
Solució:Actualitzeu a la versió 9.1.3, 9.0.7, 8.4.11 ó 8.3.18.
Notes:http://www.postgresql.org/about/news/1377/