Fwd: una-al-dia (23/03/2009) Denegación de servicio en PostgreSQL

FYI

---------- Forwarded message ----------
From: <noticias(at)hispasec(dot)com>
Date: 2009/3/23
Subject: una-al-dia (23/03/2009) Denegación de servicio en PostgreSQL
To: unaaldia(at)hispasec(dot)com

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 -------------------------------------------------------------------
 Hispasec - una-al-día                                  23/03/2009
 Todos los días una noticia de seguridad          www.hispasec.com
 -------------------------------------------------------------------

 Denegación de servicio en PostgreSQL
 ------------------------------------

Se ha anunciado una vulnerabilidad en PostgreSQL (versiones 8.x y 7.4)
que podría ser aprovechada por un atacante para provocar una denegación
de servicio.

PostgreSQL es una base de datos relacional "Open Source", bastante
popular en el mundo UNIX, junto a MySQL.

El problema se debe a un fallo en la conversión de un mensaje de error
localizado a la codificación especificada por el cliente, lo que podría
permitir a atacantes autenticados provocar la caída del servidor a
través de peticiones de conversión de codificación específicamente
construidas.

Se recomienda actualizar a PostgreSQL versión 8.3.7, 8.2.13, 8.1.17,
8.0.21 o 7.4.25, disponibles desde:
http://www.postgresql.org/download

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3803/comentar

Más información:

CVE-2009-0922
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0922

BUG #4680: Server crashed if using wrong (mismatch) conversion functions
http://archives.postgresql.org/pgsql-bugs/2009-02/msg00172.php

Laboratorio Hispasec
laboratorio(at)hispasec(dot)com

--
Alberto Paparelli - carpediem
albertopaparelli(at)gmail(dot)com
alberto(at)paparelli(dot)com(dot)ar
carpediem(at)quilmeslug(dot)org
SIP:_carpediem(at)ekiga(dot)net
http://blog.paparelli.com.ar
Linux User: #404630