Se han encontrado algunas vulnerabilidades en PostgreSQL que pueden ser aprovechadas por atacantes para provocar una denegación de servicio.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL. El primer fallo documentado se debe a una comprobación incorrecta de tipos que puede ser aprovechada para provocar que el sistema deje de responder si se convierten ciertos literales en el tipo ANYARRAY.

El segundo fallo se debe al manejo de funciones de agregación en estamentos UPDATE. Esto puede ser aprovechado para hacer que el sistema deje de responder.

El tercer fallo se debe a un error a la hora de hacer log de mensajes de ROOLBACK o estamentos COMMIT en V3-protocol puede ser aprovechado para provocar que el sistema deje de responder.

Se recomienda actualizar a la versión 8.1.5, 8.0.9, 7.4.14, o 7.3.16.

Más información:

PostgreSQL Multiple Request and Function Handling Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2006/4182

New PostgreSQL Minor Versions Released
http://www.postgresql.org/about/news.664

Changesets
http://projects.commandprompt.com/public/pgsql/changeset/26457
http://projects.commandprompt.com/public/pgsql/changeset/25504
http://projects.commandprompt.com/public/pgsql/changeset/25953

Laboratorio Hispasec
laboratorio@hispasec.com

[url=http://www.seguridad0.com/index.php?17a352e81d851551a0ab93a2ae0e783b&ID=3075]Artículo original[/url]