Vulnerabilidades K2

Contacto

Martes, 02 Julio 2019 09:25

Entelgy Innotec Cert avisa de una vulnerabilidad crítica en PostgreSQL

Entelgy Innotec Cert avisa de una vulnerabilidad crítica en PostgreSQL

Se ha detectado una vulnerabilidad en el sistema de gestión de bases de datos PostgreSQL. Un usuario autenticado podría llevar a cabo un desbordamiento de búfer cambiando su propia contraseña a través de un valor específicamente diseñado. Asimismo,  tendría la capacidad de bloquear el servidor PostgreSQL y ejecutar código arbitrario en la condición de la cuenta del sistema operativo PostgreSQL.

Además, un servidor no autorizado podría enviar un mensaje especialmente diseñado durante el proceso de autenticación SCRAM y provocar el bloqueo de un usuario o ejecutar código arbitrario con los privilegios de este.

La base de datos del NIST ha otorgado una puntuación de 9.0 según la escala CVSSv2 a la vulnerabilidad. Esto es debido a que es explotables de forma remota, con una complejidad baja, requiere de una única autenticación y un ataque exitoso tendría un impacto completo. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar estas vulnerabilidades ni actividad en la red relacionada.

Recursos afectados:

Versión 10

Versión 11

Versión 12 beta

Solución a las vulnerabilidades:

Todas las actualizaciones de PostgreSQL son acumulativas. Por lo tanto, los usuarios no están obligados a volcar y volver a cargar su base de datos o usar pg_upgrade para aplicarlas. Simplemente, el fabricante indica que se deberá cerrar PostgreSQL y actualizar los binarios. En caso de que se hayan omitido una o más actualizaciones es posible que se deban ejecutar pasos adicionales posteriores a la actualización. En ese caso se deberán consultar las notas de la nueva versión para versiones anteriores.

Importante tener en cuenta que PostgreSQL 9.4 dejará de recibir actualizaciones el 13 de febrero de 2020. En caso de estar usando dicha versión, es recomendable consultar la política de control de versiones de PostgreSQL para obtener más información.

Recomendaciones:

El CERT de Entelgy Innotec Security recomienda a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Hasta el momento, no se han detectado medidas de mitigación alternativas a las ofrecidas por el fabricante.

Referencias:

NIST.gov

PostgreSQL.org

S5 Box