PostgreSQL: Múltiples Vulnerabilidades

Mas
PostgreSQL: Múltiples Vulnerabilidades Se han reportado múltiples vulnerabilidades en PostgreSQL que podrían ser aprovechadas para saltear restricciones de seguridad, escalar privilegios y causar denegación de servicio. Alerta de seguridad
Alerta de Seguridad ArCERT2009091401
PostgreSQL: Múltiples Vulnerabilidades
Se han reportado múltiples vulnerabilidades en PostgreSQL que podrían ser aprovechadas para saltear restricciones de seguridad, escalar privilegios y causar denegación de servicio.

Versiones Afectadas
Se ven afectadas por estas vulnerabilidades:
  • PostgreSQL 8.x
  • PostgreSQL 7.4.x

Detalle
  1. La corrección de la falla CVE-2007-6600 (relacionada a un error en como ANALYZE ejecuta las funciones definidas por el usuario que son parte de funciones índices)Â no incluyó correctamente la protección contra el uso indebido de "RESET SESSION AUTHORIZATION". Esto podría ser aprovechado para escalar privilegios.

  2. Existe un error cuando PostgreSQL es configurado con autenticación LDAP, y el LDAP permite realizar consultas anónimas, que puede ser aprovechado para saltear los mecanismos de seguridad y autenticarse con una clave vacía.

  3. Es posible lograr que el servidor "backend" se cierre, al recargar librerías desde "$libdir/plugins". Para que el ataque sea exitoso, se requiere que las librerías estén presentes en la carpeta "$libdir/plugins".

Impacto
El impacto de esta vulnerabilidad es MODERADO.
Â
Recomendaciones
Se recomienda, según corresponda, actualizar a las siguientes versiones:
  • PostgreSQL rama - 8.x: 8.4.1, 8.3.8, 8.2.14, 8.1.18 ó 8.0.22.
  • PostgreSQL rama - 7.4.x:Â 7.4.26
Nota: Las versiones anteriores a la rama 7.4 ya no cuentan con soporte de mantenimiento. De tener alguna en uso, recomendamos su actualización a la brevedad.
Â
Referencias
Más información sobre esta alerta:

Aviso Original:
http://www.postgresql.org/support/security.html

Secunia:
http://secunia.com/advisories/36660
Suscríbase a nuestro Newsletter:

Click aquí!

Seguridad Administrada

La Mejor Solucion a su Medida



A menudo su empresa no cuenta con recursos o presupuestos asignado para proteger la seguridad de su información. Que esto no signifique que sus necesidades en materia de seguridad se hagan críticas.

Enlaces


Catalogo de productos Fortinet

Veeam

Eset

vmware

Exinda

Manage Engine

Sophos

Viamonte 723 piso 3ro. Of. 12 - C1053ABO
Ciudad Autónoma de Buenos Aires, Argentina.
Tel: +54 11 5218 4242 - Fax: +54 11 5218 4245
info@globalgate.com.ar
Política de USO GlobalGate - 2019 - Todos los derechos reservados