p { margin-bottom: 0.21cm; }

PostgreSQL soluciona el fallo con su nueva versión, que afecta a las versiones 9.0.x y 8.x.La vulnerabilidad permite a un atacante remoto no autenticado, ejecutar código a rbitrario con los permisos que esté corriendo la base de datos.

PostgreSQL es una base de datos relacional “Open Source”, multiplataforma, publicada bajo licencia BSD y bastante popular en el mundo UNIX.

Detalles técnicos :

  • El fallo se encuentra localizado en el fichero ‘contrib/intarray/_int_bool.c’, en concreto en la función ‘gettoken’.
  • La implementación de esta función no controlaba correctamente el tamaño de los datos recibidos a través del parámetro ‘state’.
  • Cuando se copiaban los datos de ‘state’ sobre una variable local, se provocaba un desbordamiento de memoria intermedia basado en pila.

Recomendaciones:

Se recomienda actualizar a PostgreSQL versión 9.0.3, 8.4.7, 8.3.14 o 8.2.20, disponibles desde: http://www.postgresql.org/download

Fuente: Hispasec