Inicio / Alerta Temprana / Avisos Seguridad / Actualización del servidor de bases de datos PostgreSQL

Actualización del servidor de bases de datos PostgreSQL

Fecha de publicación: 
05/04/2013
Importancia: 
5 - Crítica
Recursos afectados: 
  • v9.2
  • v9.1
  • v9.0
Descripción: 
PostgreSQL ha publicado una serie de actualizaciones que corrigen múltiples vulnerabilidades en el popular servidor de bases de datos.
Solución: 
  • Descargar la última versión del servidor desde la página oficial de PostgreSQL.
  • Verificar que PostgreSQL no está abierto a conexiones en redes no confiables.
  • Auditar a los usuarios de las bases de datos para asegurarse de que todas las conexiones requieren credenciales, y verificar que los intentos de inicio de sesión son legítimos.
Detalle: 

El no actualizar a la última versión podría provocar:

  • Denegación de servicio persistente: un atacante no autenticado podría utilizar esta vulnerabilidad para provocar que los mensajes de error de PostgreSQL se añadan a los archivos específicos en el directorio de datos PostgreSQL en el servidor. Estos archivos pueden provocar la caída del servidor y que este no pueda reiniciarse.
  • Escalada de privilegios: en el caso de que un usuario posea un "username" en el servidor de tal manera que este y el nombre de base de datos sean idénticos (por ejemplo usuario "web", y nombre de base de datos "web"), entonces esta vulnerabilidad podría ser utilizada para establecer temporalmente una variable de configuración con los privilegios de administrador.
  • Ejecución de código arbitrario: si el atacante cumple con todos los requisitos del punto anterior, y tiene la capacidad de guardar archivos en el sistema de ficheros (incluso al directorio tmp), es posible que pueda utilizar la vulnerabilidad para cargar y ejecutar código arbitrario. SELinux impedirá que este tipo específico de exploit.