Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en PostgreSQL |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Denegación de Servicio |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | PostgreSQL |
Descripción |
|
Se han descubierto dos vulnerabilidades en PostgreSQL. Las vulnerabilidades son descritas a continuación: - CAN-2005-1409: PostgreSQL da acceso EXECUTE público a ciertas funciones de conversión de caracteres. Ésto podría permitir a un atacante remoto llamar a estas funciones con valores especialmente diseñados lo que tendría un impacto desconocido. Esta vulnerabilidad se da en las versiones 7.3.x y 8.x de PostgreSQL. - CAN-2005-1410: El módulo tsearch2 de PostgreSQL declara una serie de funciones como "internal" aún cuando no reciben ningún argumento interno. La explotación de esta vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio de PostgreSQL (y posiblemente obtener un aumento de privilegios) mediante comandos SQL que llamen a otras funciones que acepten argumentos internos. Esta vulnerabilidad se da en las versiones posteriores a la 7.4 de PostgreSQL con el módulo tsearch2 instalado. |
|
Solución |
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software PostgreSQL PostgreSQL 8.0.3 http://www.postgresql.org/ftp/source/v8.0.3/ PostgreSQL 7.4.8 http://www.postgresql.org/ftp/source/v7.4.8/ PostgreSQL 7.3.10 http://www.postgresql.org/ftp/source/v7.3.10/ Red Hat Linux Red Hat Desktop (v. 3) Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 3) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CAN-2005-1409 CAN-2005-1410 |
BID | |
Recursos adicionales |
|
PostgreSQL Security Advisory http://www.postgresql.org/about/news.315 Red Hat Security Advisory RHSA-2005:433-17 https://rhn.redhat.com/errata/RHSA-2005-433.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2005-06-02 |