int(1619)

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en PostgreSQL

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado PostgreSQL

Descripción

Se han descubierto dos vulnerabilidades en PostgreSQL. Las vulnerabilidades son descritas a continuación:

- CAN-2005-1409: PostgreSQL da acceso EXECUTE público a ciertas funciones de conversión de caracteres. Ésto podría permitir a un atacante remoto llamar a estas funciones con valores especialmente diseñados lo que tendría un impacto desconocido.

Esta vulnerabilidad se da en las versiones 7.3.x y 8.x de PostgreSQL.

- CAN-2005-1410: El módulo tsearch2 de PostgreSQL declara una serie de funciones como "internal" aún cuando no reciben ningún argumento interno. La explotación de esta vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio de PostgreSQL (y posiblemente obtener un aumento de privilegios) mediante comandos SQL que llamen a otras funciones que acepten argumentos internos.

Esta vulnerabilidad se da en las versiones posteriores a la 7.4 de PostgreSQL con el módulo tsearch2 instalado.

Solución

Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo.


Actualización de software

PostgreSQL
PostgreSQL 8.0.3
http://www.postgresql.org/ftp/source/v8.0.3/
PostgreSQL 7.4.8
http://www.postgresql.org/ftp/source/v7.4.8/
PostgreSQL 7.3.10
http://www.postgresql.org/ftp/source/v7.3.10/

Red Hat Linux
Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
https://rhn.redhat.com/

Identificadores estándar

Propiedad Valor
CVE CAN-2005-1409
CAN-2005-1410
BID

Recursos adicionales

PostgreSQL Security Advisory
http://www.postgresql.org/about/news.315

Red Hat Security Advisory RHSA-2005:433-17
https://rhn.redhat.com/errata/RHSA-2005-433.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2005-06-02

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT