Vulnerabilidades de ejecución de código en PostgreSQL


Se han anunciado diversos problemas en PostgreSQL (versiones 8.x y 7.4), que podrían permitir a un atacante evitar restricciones de seguridad o ejecutar código arbitrario.





PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.

El primer problema se debe a errores en "Safe.pm" y "PL/Perl"; un atacante autenticado podría emplearlos para ejecutar código Perl en el servidor de base de datos si PL/Perl está instalado y activo.

La segunda vulnerabilidad reside en la asignación incorrecta de permisos en la tabla "pltcl_modules", un usuario autenticado podría emplear este fallo para ejecutar código Tcl en el servidor si PL/Tcl está instalado y activo.

Se recomienda actualizar PostgreSQL a la versión 8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25 o 7.4.29 desde:
http://www.postgresql.org/download

Más Información:

2010-05-17 PostgreSQL Security Update
http://www.postgresql.org/about/news.1203

Security Information
http://www.postgresql.org/support/security

Fuente:
Por Antonio Ropero
http://www.hispasec.com



Otras noticias de interés:

Códigos QR y el malware
Los Quick Response (QR) son códigos de barra de dos dimensiones diseñados para ser leídos e interpretados rápidamente. Actualmente, y sumado a la gran proliferación de smartphones en el mercado, son muy utilizados para publicidades y campañas d...
La privacidad en Internet será un derecho
Expertos y autoridades de 25 agencias de protección de datos, reunidosel 16/04/2010 en Granada, han puesto las bases de lo que será una carta de derechos de privacidad en Internet. En la reunión se han presentado una serie de conclusiones que, una...
Cross site scripting en phpMyAdmin
El equipo de phpMyAdmin ha publicado una alerta informando de un fallo en la funcionalidad structure snapshot al no realizar correctamente la validación de los datos pasados a través de los parámetros tabla, columna e índice. ...
Spam en formato HTML, en aumento de nuevo
Probablemente ya lo hayan notado, pero últimamente se está recibiendo en mayor medida correo basura con HTMLs adjuntos. Los atacantes están usando este formato para robar datos y redirigir a las víctimas a otras web. Es la nueva moda del spam....
Descubren troyano que se hace pasar por Microsoft Security Essentials
El objetivo del engaño es conseguir que los usuarios se descarguen productos de seguridad falsos pensando que son Security Essentials, la oferta de seguridad gratuita de Microsoft....
LapLink sufre intrusiones informáticas
Según ha informado Seattle Times(*), LapLink ha sufrido ataques informáticos que le han supuesto graves perjuicios económicos....
Novell desafía la posición de SCO y reitera su respaldo a Linux
Defendiendo sus intereses sobre el desarrollo de servicios que operen sobre la plataforma Linux, Novell planteó hoy un desafío dual a The SCO Group (The Santa Cruz Operation Group) con respecto a sus recientes declaraciones en cuanto a una supuesta...
Microsoft y la geolocalización en Windows Phone 7
Microsoft explica sus prácticas de registro de datos sobre localización en Windows Phone 7. En medio del revuelo ocasionado por la recopilación y el almacenamiento de información sobre localización de los usuarios de dispositivos móviles basado...
IBM crea tecnología para hacer cálculos con datos encriptados
IBM ha dado a conocer que uno de sus investigadores ha hecho posible que los ordenadores puedan hacer cálculos con datos encriptados sin necesidad de descifrarlos....
Nueva versión de Perl.
Tras más de dos años con la última versión estable, los desarrolladores de Perl acaban de liberar una nueva versión la 5.8.0....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codigo
  • computer
  • debian
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • postgresql
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra