Daboweb

Archive for febrero, 2011

Ejecución de código en PostgreSQL

Posted by vlad on febrero 03, 2011
Seguridad Informática

Descubierta una vulnerabilidad en este popular y utilizado sistema gestor de bases de datos, localizada concretamente en en el módulo ‘intarray’, que afecta a las versiones 9.0.x y 8.x de PostgreSQL, la cual permite a un atacante remoto no autenticado, ejecutar código arbitrario con los permisos que esté corriendo la base de datos, lo que convierte este fallo en potencialmente peligroso para la estabilidad y seguridad del sistema.

Es en el fichero “contrib/intarray/_int_bool.c” y con mas exactitud en la función “gettoken” donde se ha descubierto el agujero de seguridad, que no controla el tamaño de los datos recibidos a través del parámetro “state”,  provocándose un desbordamiento de memoria intermedia basado en pila. Se recomienda actualizar a PostgreSQL versión 9.0.3, 8.4.7, 8.3.14 o 8.2.20, disponibles en este enlace. Podéis leer mas acerca de esta noticia en este otro link.

Tags: , ,

Publicado en Daboweb, Enero de 2011

Posted by Destroyer on febrero 02, 2011
Seguridad Informática

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en enero de 2011 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2011;

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , ,