Vulnerability Bulletins |
Múltiples vulnerabilidades en PostgreSQL |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Denegación de Servicio |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | PostgreSQL |
Description |
|
Se han descubierto dos vulnerabilidades en PostgreSQL. Las vulnerabilidades son descritas a continuación: - CAN-2005-1409: PostgreSQL da acceso EXECUTE público a ciertas funciones de conversión de caracteres. Ésto podría permitir a un atacante remoto llamar a estas funciones con valores especialmente diseñados lo que tendría un impacto desconocido. Esta vulnerabilidad se da en las versiones 7.3.x y 8.x de PostgreSQL. - CAN-2005-1410: El módulo tsearch2 de PostgreSQL declara una serie de funciones como "internal" aún cuando no reciben ningún argumento interno. La explotación de esta vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio de PostgreSQL (y posiblemente obtener un aumento de privilegios) mediante comandos SQL que llamen a otras funciones que acepten argumentos internos. Esta vulnerabilidad se da en las versiones posteriores a la 7.4 de PostgreSQL con el módulo tsearch2 instalado. |
|
Solution |
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software PostgreSQL PostgreSQL 8.0.3 http://www.postgresql.org/ftp/source/v8.0.3/ PostgreSQL 7.4.8 http://www.postgresql.org/ftp/source/v7.4.8/ PostgreSQL 7.3.10 http://www.postgresql.org/ftp/source/v7.3.10/ Red Hat Linux Red Hat Desktop (v. 3) Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 3) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ |
|
Standar resources |
|
Property | Value |
CVE |
CAN-2005-1409 CAN-2005-1410 |
BID | |
Other resources |
|
PostgreSQL Security Advisory http://www.postgresql.org/about/news.315 Red Hat Security Advisory RHSA-2005:433-17 https://rhn.redhat.com/errata/RHSA-2005-433.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2005-06-02 |