Descubierta una vulnerabilidad en este popular y utilizado sistema gestor de bases de datos, localizada concretamente en en el módulo ‘intarray’, que afecta a las versiones 9.0.x y 8.x de PostgreSQL, la cual permite a un atacante remoto no autenticado, ejecutar código arbitrario con los permisos que esté corriendo la base de datos, lo que convierte este fallo en potencialmente peligroso para la estabilidad y seguridad del sistema.
Es en el fichero «contrib/intarray/_int_bool.c» y con mas exactitud en la función «gettoken» donde se ha descubierto el agujero de seguridad, que no controla el tamaño de los datos recibidos a través del parámetro «state», provocándose un desbordamiento de memoria intermedia basado en pila. Se recomienda actualizar a PostgreSQL versión 9.0.3, 8.4.7, 8.3.14 o 8.2.20, disponibles en este enlace. Podéis leer mas acerca de esta noticia en este otro link.
