hace 3 meses · Actualizado hace 3 meses
Se lanzó una actualización de alerta de seguridad de TI para una vulnerabilidad conocida para PostgreSQL. Puede leer la descripción de las brechas de seguridad, incluidas las últimas actualizaciones, así como información sobre los sistemas operativos y productos Linux, MacOS X y UNIX afectados aquí.
Oficina Federal de Seguridad en Tecnología de la Información (BSI) el 23 de diciembre de 2024, una actualización para PostgreSQL que se identificó el 9 de noviembre de 2017 liberó un agujero de seguridad con múltiples vulnerabilidades. La vulnerabilidad de seguridad afecta a los sistemas operativos Linux, MacOS
Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Aviso de seguridad de Oracle Linux ELSA-2024-10882 (Al 24 de diciembre de 2024). Otros recursos útiles se enumeran más adelante en este artículo.
- Múltiples vulnerabilidades para PostgreSQL: riesgo: alto
- Error de PostgreSQL: Descripción del ataque
- Sistemas afectados por la vulnerabilidad PostgreSQL de un vistazo
- Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
- Información del fabricante sobre actualizaciones, parches y soluciones
- Fecha de revisión de este aviso de seguridad
Múltiples vulnerabilidades para PostgreSQL: riesgo: alto
Nivel de riesgo: 5 (alto)
Cláusula Básica de CVSS: 8.1
Puntuación provisional CVSS: 7,1
Ataque a distancia: Sí
El Sistema Común de Puntuación de Vulnerabilidad (CVSS) se utiliza para evaluar la vulnerabilidad de los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad potenciales o reales en función de diferentes métricas para evitar contramedidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. La dimensión temporal también tiene en cuenta los cambios en la situación de riesgo a lo largo del tiempo. El riesgo de vulnerabilidad analizado aquí se clasifica como "alto" según el CVSS con una calificación inicial de 8,1.
Error de PostgreSQL: Descripción del ataque
PostgreSQL es una base de datos gratuita para varios sistemas operativos.
Un atacante autenticado local o remoto podría explotar varias vulnerabilidades en PostgreSQL para elevar privilegios, acceder a datos confidenciales, manipular datos, provocar una denegación de servicio o eludir mecanismos de seguridad.
CVE-2016-1255, CVE-2017-12172, CVE-2017-15097, CVE-2017-15098, CVE-2016-1255, CVE-2017-12172. CVE-2017-15097, CVE-2017-15098, CVE-20917 y CVE-20917-1. -8806 negociados.
Sistemas afectados por la vulnerabilidad PostgreSQL de un vistazo
sistemas operativos
Linux, MacOS X, UNIX, Windows
Productos
CentOS de código abierto (cpe:/o:centos:centos)
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Código abierto PostgreSQL 9.2.24 (cpe:/a:postgresql:postgresql)
PostgreSQL 10.1 de código abierto (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.6.6 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.5.10 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.4.15 (cpe:/a:postgresql:postgresql)
Código abierto PostgreSQL 9.3.20 (cpe:/a:postgresql:postgresql)
IBM Security Verify Access 10.0.0.0-10.0.6.1 (cpe:/a:ibm:security_verify_access)
Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
- Los usuarios de las aplicaciones afectadas deben actualizarlas. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay parches de seguridad disponibles, instálelos inmediatamente.
- Para obtener información, consulte los recursos enumerados en la siguiente sección. Estos suelen incluir más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
- Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente cuándo Conciencia de seguridad de TI Los fabricantes afectados proporcionan una nueva actualización de seguridad.
Información del fabricante sobre actualizaciones, parches y soluciones
Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.
Aviso de seguridad de Oracle Linux ELSA-2024-10882 2024-12-24 (23 de diciembre de 2024)
Puede encontrar más información aquí:
Boletín de seguridad de IBM 7108821 del 17 de enero de 2024 (17.01.2024)
Puede encontrar más información aquí:
Aviso de seguridad de RedHat RHSA-2018: 2566 (26.08.2018)
Puede encontrar más información aquí:
Aviso de seguridad de Red Hat RHSA-2018: 2511 2018-08-20 (20.08.2018)
Puede encontrar más información aquí:
Actualización de seguridad de SUSE SUSE-SU-2018:0081-1 con fecha del 13 de enero de 2018 (14.01.2018)
Puede encontrar más información aquí:
Actualización de seguridad de SUSE SUSE-SU-2018:0077-1 con fecha del 12 de enero de 2018 (14.01.2018)
Puede encontrar más información aquí:
Actualización de seguridad de SUSE SUSE-SU-2017: 3391-1 con fecha del 21 de diciembre de 2017 (21 de diciembre de 2017)
Puede encontrar más información aquí:
Aviso de seguridad de Red Hat RHSA-2017: 3402 2017-12-08 (11 de diciembre de 2017)
Puede encontrar más información aquí:
Aviso de seguridad de CentOS CESA-2017: 3402 2017-12-11 (11 de diciembre de 2017)
Puede encontrar más información aquí:
Aviso de seguridad de Red Hat RHSA-2017: 3404 2017-12-08 (07.12.2017)
Puede encontrar más información aquí:
Aviso de seguridad de Red Hat RHSA-2017: 3405 2017-12-08 (07.12.2017)
Puede encontrar más información aquí:
Aviso de seguridad de Oracle Linux ELSA-2017-3402 del 8 de diciembre de 2017 (07.12.2017)
Puede encontrar más información aquí:
Boletín de seguridad de Ubuntu USN-3479-1 con fecha del 14 de noviembre de 2017 (14.11.2017)
Puede encontrar más información aquí:
Boletín de seguridad de Ubuntu USN-3476-1 con fecha del 9 de noviembre de 2017 (09.11.2017)
Puede encontrar más información aquí:
Aviso de seguridad de Debian DSA-4029-1 del 9 de noviembre de 2017 (09.11.2017)
Puede encontrar más información aquí:
Aviso de seguridad de Debian DSA-4028-1 del 9 de noviembre de 2017 (09.11.2017)
Puede encontrar más información aquí:
Aviso de seguridad de Debian DSA-4027-1 del 9 de noviembre de 2017 (09.11.2017)
Puede encontrar más información aquí:
Notas de la versión de PostgreSQL del 9 de noviembre de 2017 (09.11.2017)
Puede encontrar más información aquí:
Fecha de revisión de este aviso de seguridad
Esta es la versión 18 de esta versión de seguridad de TI de PostgreSQL. Esta publicación se actualizará cuando se anuncien más actualizaciones. Puede ver los cambios realizados utilizando el historial de versiones a continuación.
9 de noviembre de 2017: lanzamiento inicial
09/11/2017 - Versión no lista
09/11/2017 - Versión no lista
09/11/2017 - Versión no lista
14/11/2017 - Nuevos tratamientos disponibles
27/11/2017 - Recursos añadidos
12.07.2017 - Nuevos tratamientos disponibles
11/12/2017 - Nuevos tratamientos disponibles
11/12/2017 - Nuevos tratamientos disponibles
21/12/2017 - Nuevos tratamientos disponibles
14/01/2018 - Nuevos tratamientos disponibles
14/01/2018 - Nuevos tratamientos disponibles
20/08/2018 - Nuevos tratamientos disponibles
20/08/2018 - Versión no lista
20/08/2018 - Versión no lista
26/08/2018 - Nuevos tratamientos disponibles
17/01/2024 - Se agregaron nuevas actualizaciones de IBM
23/12/2024: se agregaron nuevas actualizaciones de Oracle Linux
Más noticias