Red Hat ha publicado dos actualizaciones, con importancia moderada, de los paquetes de «postgresql» y «postgresql84» para las versiones 5 y 6 de su producto Enterprise Linux Server.
La primera actualización, con código RHSA-2012:0677-1, afecta al paquete «postgresql» de la versión 5 de Red Hat Enterprise Linux Server y contiene la corrección de las siguiente vulnerabilidades:
* CVE-2012-0868: Un error de filtrado al generar un fichero con ‘pg_dump’ que podría ser aprovechado por un atacante remoto para ejecutar código SQL arbitrario y conseguir escalar privilegios.
* CVE-2012-0866: Debido a una falta de comprobación de permisos en los disparadores (triggers) en ‘PostgreSQL’ un atacante remoto podría ejecutar funciones para las que no tiene permisos usando un disparador especialmente manipulado para ello.
La segunda actualización, con código RHSA-2012:0678-1, afecta a los paquetes «postgresql84», para la versión 5, y «postgresql», para la versión 6 de Red Hat Enterprise Linux Server. En esta se corrigen también las vulnerabilidades anteriores (CVE-2012-0868 y CVE-2012-0866) además de la siguiente:
* CVE-2012-0867: A causa de un error de validación del campo «Common Name» un atacante remoto podría llegar a suplantar la identidad de una entidad legítima usando un certificado especialmente manipulado. Red Hat recomienda actualizar los sistemas afectados vía Red Hat Network:
http://rhn.redhat.com/
Más información:
Moderate: postgresql security update
https://rhn.redhat.com/errata/RHSA-2012-0677.html
Moderate: postgresql and postgresql84 security update
https://rhn.redhat.com/errata/RHSA-2012-0678.html
¿Te resultó interesante? Compártelo ...
