Re: Parches de seguridad - Sitios con IP Publica

2013/4/5 Emanuel Calvo <postgres(dot)arg(at)gmail(dot)com>:
>
>
>
> El 5 de abril de 2013 00:25, Mariano Reingart <reingart(at)gmail(dot)com> escribió:
>
>> Emanuel: ¿Ese numero de servidores, de que versión es?
>> Si entendí bien, ¿afectaría solo a la versión 9, no?
>>
>
> no, afecta a la 8.4 también.

Si, me exprese mal, me refería a la vulnerabilidad principal, por lo
que veo es recomendable actualizar todas las versiones actuales.

> No hay versiones, son servidores que están abiertos sobre el puerto por
> defecto con IP pública
> (por lo que serían vulnerables).

Ok, serían vulnerables potencialmente ;-)

>
>>
>> Para poner en contexto, como mucho, si no se actualiza pueden sufrir
>> una denegación de servicio y el daño potencial puede ser revertido
>> relativamente fácil, ¿correcto?
>> (salvo que un atacante tenga un usuario en el servidor)
>>
>
> No, se pueden hacer daños a archivos en el data.

Si, por lo que veo, agregando "basura".

> Aún así la denegación de servicio sin necesidad de logueo es muy severo.

Si, a eso me refería.

>>
>> Por cierto, por lo que dice el comunicado, tampoco hay exploits
>> conocidos hasta el momento.
>>
>
> No, por suerte se ha detectado y manejado de manera muy coherente.
>
>>
>> En la wiki de PostgreSQL traduje y subí una versión inicial de las
>> preguntas frecuentes y comunicado, por si quieren ir trabajando para
>> aclarar estas dudas:
>>
>> https://wiki.postgresql.org/wiki/20130404ActualizacionSeguridad
>>
>> Lamentablemente no tuve tiempo de analizar el tema en profundidad,
>> espero la semana que viene poder ver y hacer algunas pruebas.
>>
>
> Si quieres nos juntamos la semana que viene. Nos debemos una cerveza.
>

Dale!

Yo puedo a parir del Miércoles 10, si alguien más se quiere prender, avisen

Sds

Mariano Reingart
http://www.sistemasagiles.com.ar
http://reingart.blogspot.com