Llegamos a ustedes gracias a:



Alertas de Seguridad

PostgreSQL publica actualizaciones

VMware también actualiza su base de datos vFabric Postgres

[08/04/2013] El jueves los desarrolladores de PostgreSQL publicaron actualizaciones para todas las mayores versiones del popular sistema de base de datos de código abierto para poder enfrentar varias vulnerabilidades, entre las que se encuentra una de alto riesgo que podría permitir a los atacantes colgar el servidor, modificar las variables de la configuración como súper usuario o ejecutar código arbitrario si se cumplen ciertas condiciones.
Esta actualización repara una vulnerabilidad de seguridad de alta exposición en las versiones 9.0 y posteriores, afirmó el PostgreSQL Global Development Group en el anuncio del lanzamiento. A todos los usuarios de las versiones afectadas se les pide con urgencia que apliquen la actualización inmediatamente.
Esta vulnerabilidad de alto riesgo, identificada como la CVE-2013-1899, puede ser explotada enviando solicitudes de conexión maliciosamente modificadas a un servidor PostgreSQL objetivo que incluyen cambios en las líneas de comando que especifican un nombre de base de datos que comienza con el carácter -. Dependiendo de la configuración del servidor, un exploit exitoso podría causar una permanente denegación del servicio, incremento de los privilegios o ejecución arbitraria de código.
La vulnerabilidad puede ser explotada por un atacante remoto no autenticado para adjuntar mensajes de error a los archivos localizados en el directorio de datos de PostgreSQL. Los archivos corrompidos de esta manera podrían causar que el servidor de la base de datos se cuelgue, y se rehúse a reinicializarse, sostuvieron los desarrolladores de PostgreSQL en unos consejos que acompañan a los nuevos releases. El servidor de la base de datos puede repararse editando los archivos y removiendo el texto basura, o reestableciéndolo desde la copia de respaldo.
Más aún, si el atacante tiene acceso a un usuario de la base de datos cuyo nombre sea idéntico a un nombre de la base de datos, puede aprovechar la vulnerabilidad para modificar temporalmente una variable de la configuración con privilegios de súper usuario. Si se cumple esta condición y el atacante también puede escribir archivos en algún lugar en el sistema –por ejemplo, en el directorio /tmp– puede explotar la vulnerabilidad para cargar y ejecutar código C arbitrario, afirmaron los desarrolladores de PostgreSQL.
Los sistemas que no restringen el acceso al puerto de red de PostgreSQL, que es común para los servidores de bases de datos PostgreSQL que corren en nubes públicas, son especialmente vulnerables a estos ataques.
Los desarrolladores de PostgreSQL aconsejaron a los administradores de los servidores que actualicen sus instalaciones de PostgreSQL a las recientemente lanzadas versiones 9.0.13, 9.1.9 o 9.2.4, y bloquear el acceso a sus servidores de base de datos desde redes no confiables. La versión 8.4 de PostgreSQL no se encuentra afectada por la CVE-2013-1899, pero también se lanzó la PostgreSQL 8.4.17 para reparar otros problemas.
Todos los releases nuevos también se encargan de reparaciones a la seguridad, aunque menos serios, incluyendo el CVE-2013-1900, el cual podría permitir a un usuario de una base de datos adivinar los números aleatorios generados por las funciones contrib/pgcrypto, y el CVE-2013-1901, que podría permitir que un usuario sin privilegios corra comandos que podrían interferir con los backups en progreso.
También se han tratado otros dos problemas de seguridad con los instaladores gráficos de PostgreSQL para Linux y Mac OS X. Ellos permiten la aprobación no segura de contraseñas de superusuario a un script (CVE-2013-1903) y el uso de nombres de archivo previsibles en /tmp (CVE-2013-1902), afirmaron los desarrolladores de PostgreSQL.
Como resultado de las actualizaciones de seguridad de PostgreSQL, VMware también lanzó fixes para su base de datos relacional vFabric Postgres que se encuentra optimizada para ambientes virtuales. Las actualizaciones de VMware son vFabric Postgres 9.2.4 y 9.1.9.
Lucian Constantin, IDG News Service