hace 3 meses · Actualizado hace 3 meses
Se lanzó una actualización de aviso de seguridad de TI para una vulnerabilidad conocida para PostgreSQL. Puede leer aquí en news.de qué sistemas operativos y productos se ven afectados por fallos de seguridad.
Oficina Federal de Seguridad en Tecnología de la Información (BSI) el 23 de diciembre de 2024 publicó una actualización para PostgreSQL que se identificó el 9 de agosto de 2018 con múltiples vulnerabilidades. Sistemas operativos Linux, MacOS
Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Aviso de seguridad de Oracle Linux ELSA-2024-10882 (Al 24 de diciembre de 2024). Otros recursos útiles se enumeran más adelante en este artículo.
- Para PostgreSQL - Riesgo: medio
- Error de PostgreSQL: Descripción del ataque
- Sistemas afectados por la vulnerabilidad PostgreSQL de un vistazo
- Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
- Información del fabricante sobre actualizaciones, parches y soluciones
- La fecha de revisión de este aviso de seguridad.
Para PostgreSQL - Riesgo: medio
Nivel de riesgo: 3 (medio)
Puntuación base CVSS: 7,5
Puntuación provisional CVSS: 6,5
Ataque a distancia: Sí
El Sistema de puntuación de vulnerabilidad común (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades en los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad potenciales o reales en función de diferentes métricas para evitar contramedidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. La dimensión temporal también tiene en cuenta los cambios en la situación de riesgo a lo largo del tiempo. Según CVSS, la vulnerabilidad actual está clasificada como "moderada" con una puntuación base de 7,5.
Error de PostgreSQL: Descripción del ataque
PostgreSQL es una base de datos gratuita para varios sistemas operativos.
Un atacante remoto y autenticado podría aprovechar varias vulnerabilidades en PostgreSQL para eludir la seguridad y exponer información.
Las vulnerabilidades se han clasificado utilizando el sistema de referencia CVE (Common Vulnerabilities and Developments) mediante números de serie individuales CVE-2018-10915 y CVE-2018-10925.
Sistemas afectados por la vulnerabilidad PostgreSQL de un vistazo
sistemas operativos
Linux, MacOS X, UNIX, Windows
Productos
CentOS de código abierto (cpe:/o:centos:centos)
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
PostgreSQL de código abierto <10.5 (cpe:/a:postgresql:postgresql)
PostgreSQL 10.5 de código abierto (cpe:/a:postgresql:postgresql)
PostgreSQL de código abierto <9.6.10 (cpe:/a:postgresql:postgresql)
PostgreSQL de código abierto 9.6.10 (cpe:/a:postgresql:postgresql)
PostgreSQL de código abierto <9.5.14 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.5.14 (cpe:/a:postgresql:postgresql)
PostgreSQL de código abierto <9.4.19 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.4.19 (cpe:/a:postgresql:postgresql)
PostgreSQL de código abierto <9.3.24 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.3.24 (cpe:/a:postgresql:postgresql)
Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
- Los usuarios de las aplicaciones afectadas deben actualizarlas. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay nuevas actualizaciones de seguridad, instálelas inmediatamente.
- Para obtener información, consulte los recursos enumerados en la siguiente sección. Estos suelen incluir más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
- Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente los recursos especificados para ver si hay una nueva actualización de seguridad disponible.
Información del fabricante sobre actualizaciones, parches y soluciones
Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.
Aviso de seguridad de Oracle Linux ELSA-2024-10882 2024-12-24 (23 de diciembre de 2024)
Puede encontrar más información aquí:
Actualización de seguridad de SUSE SUSE-SU-2018:3909-1 con fecha del 27 de noviembre de 2018 (26.11.2018)
Puede encontrar más información aquí:
Actualización de seguridad de SUSE SUSE-SU-2018: 3377-1 con fecha del 25 de octubre de 2018 (24.10.2018)
Puede encontrar más información aquí:
Actualización de seguridad de SUSE SUSE-SU-2018: 3287-1 con fecha del 22 de octubre de 2018 (22.10.2018)
Puede encontrar más información aquí:
Aviso de seguridad de Red Hat RHSA-2018: 2643 2018-09-05 (04.09.2018)
Puede encontrar más información aquí:
Actualización de seguridad de SUSE SUSE-SU-2018: 2564-1 con fecha del 31 de agosto de 2018 (30.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de CentOS CESA-2018: 2557 del 28-08-2018 (28.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de RedHat RHSA-2018: 2557 (28.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de RedHat: RHSA-2018:2565 (26.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de RedHat RHSA-2018: 2566 (26.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de Oracle Linux ELSA-2018-2557 del 23 de agosto de 2018 (23.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de Red Hat RHSA-2018: 2511 2018-08-20 (20.08.2018)
Puede encontrar más información aquí:
Boletín de seguridad de Ubuntu USN-3744-1 con fecha del 17 de agosto de 2018 (16.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de Debian DLA-1464 del 16 de agosto de 2018 (15.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de Debian DSA-4269 del 11 de agosto de 2018 (08.12.2018)
Puede encontrar más información aquí:
Notas de la versión de PostgreSQL del 09/08/2018 (08.09.2018)
Puede encontrar más información aquí:
La fecha de revisión de este aviso de seguridad.
Esta es la vigésima versión de esta versión de seguridad de TI de PostgreSQL. Si se anuncian más actualizaciones, esta publicación se actualizará. Puede leer sobre los cambios o adiciones en el historial de esta versión.
09/08/2018 - Lanzamiento inicial
9 de agosto de 2018: versión no lista
12/08/2018 - Nuevos tratamientos disponibles
15/08/2018 - Nuevos tratamientos disponibles
16/08/2018 - Nuevos tratamientos disponibles
20/08/2018 - Nuevos tratamientos disponibles
20/08/2018 - Versión no lista
20/08/2018 - Versión no lista
23/08/2018 - Nuevos tratamientos disponibles
26/08/2018 - Nuevos tratamientos disponibles
26/08/2018 - Nuevos tratamientos disponibles
28/08/2018 - Nuevos tratamientos disponibles
28/08/2018 - Nuevos tratamientos disponibles
30/08/2018 - Nuevos tratamientos disponibles
04/09/2018 - Nuevos tratamientos disponibles
22/10/2018 - Nuevos tratamientos disponibles
24/10/2018 - Nuevos tratamientos disponibles
30/10/2018 - Recursos agregados
26/11/2018 - Nuevos tratamientos disponibles
23/12/2024: se agregaron nuevas actualizaciones de Oracle Linux
Más noticias