Ejecución de código en PostgreSQL

Posted by vlad on febrero 03, 2011
Seguridad Informática

Descubierta una vulnerabilidad en este popular y utilizado sistema gestor de bases de datos, localizada concretamente en en el módulo ‘intarray’, que afecta a las versiones 9.0.x y 8.x de PostgreSQL, la cual permite a un atacante remoto no autenticado, ejecutar código arbitrario con los permisos que esté corriendo la base de datos, lo que convierte este fallo en potencialmente peligroso para la estabilidad y seguridad del sistema.

Es en el fichero «contrib/intarray/_int_bool.c» y con mas exactitud en la función «gettoken» donde se ha descubierto el agujero de seguridad, que no controla el tamaño de los datos recibidos a través del parámetro «state»,  provocándose un desbordamiento de memoria intermedia basado en pila. Se recomienda actualizar a PostgreSQL versión 9.0.3, 8.4.7, 8.3.14 o 8.2.20, disponibles en este enlace. Podéis leer mas acerca de esta noticia en este otro link.

Tags: , ,

Comments are closed.

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad