Seguridad informática: Linux, MacOS

El aviso de seguridad publicado para PostgreSQL recibió una actualización de BSI. Puede averiguar a qué deben prestar atención los usuarios afectados aquí.

Oficina Federal de Seguridad en Tecnología de la Información (BSI) publicó una actualización el 23 de diciembre de 2024 para un agujero de seguridad con múltiples vulnerabilidades para PostgreSQL que se identificó el 4 de abril de 2013. La vulnerabilidad de seguridad afecta a los sistemas operativos Linux, MacOS X, UNIX y Windows, así como a los productos Ubuntu Linux, Debian Linux, Open Source PostgreSQL y Oracle Linux.

Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Aviso de seguridad de Oracle Linux ELSA-2024-10882 (Al 24 de diciembre de 2024). Otros recursos útiles se enumeran más adelante en este artículo.

Para PostgreSQL - Riesgo: medio

Nivel de riesgo: 4 (medio)
Cláusula básica CVSS: 7.3
Puntuación provisional CVSS: 6,4
Ataque a distancia: Sí

El Sistema de puntuación de vulnerabilidad común (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades de seguridad en los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad potenciales o reales en función de diferentes criterios para evitar contramedidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. Además de la dimensión temporal, en la evaluación se consideran las condiciones del contexto que pueden cambiar con el tiempo. Según CVSS, la vulnerabilidad actual está clasificada como "moderada" con una puntuación base de 7,3.

Error de PostgreSQL: Descripción del ataque

PostgreSQL es una base de datos gratuita para varios sistemas operativos.

Un atacante remoto, desconocido, autenticado o local podría explotar múltiples vulnerabilidades en PostgreSQL para eludir funciones de seguridad, escalar privilegios o manipular o revelar datos.

La vulnerabilidad se identifica mediante los identificadores únicos de vulnerabilidades y desarrollos comunes (CVE) CVE-2013-1899, CVE-2013-1900, CVE-2013-1901, CVE-2013-1903 y CVE-2013-190.

Sistemas afectados por la vulnerabilidad PostgreSQL de un vistazo

sistemas operativos
Linux, MacOS X, UNIX, Windows

Productos
Ubuntu Linux 10.04 LTS (cpe:/o:canonical:ubuntu_linux)
Ubuntu Linux 8.04 LTS (cpe:/o:canonical:ubuntu_linux)
Ubuntu Linux 11.10 (cpe:/o:canonical:ubuntu_linux)
Ubuntu Linux 12.04 LTS (cpe:/o:canonical:ubuntu_linux)
Ubuntu Linux 12.10 (cpe:/o:canonical:ubuntu_linux)
Debian Linux Squeeze (6.0) (cpe:/o:debian:debian_linux)
Código abierto PostgreSQL 8.4.x <8.4.17 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 8.4.x 8.4.17 (cpe:/a:postgresql:postgresql)
PostgreSQL de código abierto 9.0.x <9.0.13 (cpe:/a:postgresql:postgresql)
PostgreSQL de código abierto 9.0.x 9.0.13 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.1.x <9.1.9 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.1.x 9.1.9 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.2.x <9.2.4 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.2.x 9.2.4 (cpe:/a:postgresql:postgresql)
Oracle Linux (cpe:/o:oracle:linux)

Medidas generales para hacer frente a las vulnerabilidades de seguridad informática

1. Los usuarios de las aplicaciones afectadas deben actualizarlas. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay nuevas actualizaciones de seguridad, instálelas inmediatamente.
2. Para obtener información, consulte los recursos enumerados en la siguiente sección. Estos suelen incluir más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
3. Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente los recursos especificados para ver si hay una nueva actualización de seguridad disponible.

Información del fabricante sobre actualizaciones, parches y soluciones

Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.

Aviso de seguridad de Oracle Linux ELSA-2024-10882 2024-12-24 (23 de diciembre de 2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2013:0633-2 con fecha del 23 de abril de 2013 (23.04.2013)
Puede encontrar más información aquí:

Entrada de blog "Vulnerabilidad PostgreSQL CVE-2013-1899" con fecha del 10 de abril de 2013 (10/04/2013)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2013:0633-1 con fecha del 5 de abril de 2013 (04.07.2013)
Puede encontrar más información aquí:

Boletín de seguridad de Ubuntu USN-1789-1 con fecha del 4 de abril de 2013 (04.04.2013)
Puede encontrar más información aquí:

Aviso de seguridad de Debian DSA-2658-1 del 4 de abril de 2013 (04.04.2013)
Puede encontrar más información aquí:

Aviso de seguridad de Debian DSA-2657-1 del 4 de abril de 2013 (04.04.2013)
Puede encontrar más información aquí:

PostgreSQL 9.2.4, 9.1.9, 9.0.13 y 8.4.17 lanzados el 4 de abril de 2013 (04.04.2013)
Puede encontrar más información aquí:

La fecha de revisión de este aviso de seguridad.

Esta es la séptima versión de esta versión de seguridad de TI de PostgreSQL. Esta publicación se actualizará cuando se anuncien más actualizaciones. Puede leer sobre los cambios o adiciones en el historial de esta versión.

04/04/2013 - Lanzamiento inicial
04/04/2013 - Versión no lista
04/07/2013 - Nuevos tratamientos disponibles
07/04/2013 - Versión no lista
07/04/2013 - Versión no lista
23/04/2013 - Nuevos tratamientos disponibles
23/12/2024: se agregaron nuevas actualizaciones de Oracle Linux