PostgreSQL Tetap "Persistent Denial-of-Service" Kerentanan (CVE-2013-1899)

PostgreSQL Tetap "Persistent Denial-of-Service (DDos)" Kerentanan (CVE-2013-1899)

Peneliti Keamanan belum lagi tahu lubang keamanan serius di salah satu yang paling banyak digunakan sistem manajemen database relasional obyek, PostgreSQL juga dikenal sebagai Postgres. Sementara memanipulasi celah ini penyerang dapat dengan mudah merusak file dan dalam beberapa kasus, dapat mengeksekusi kode berbahaya pada server yang mendasari menyebabkan serangan. "persisten denial-of-service".

Dengan merusak file penyerang dapat menyebabkan database server crash dan menolak untuk reboot. Server yang terkena dampak hanya bisa restart dengan menghapus teks sampah dari file atau dengan mengembalikan mereka dari cadangan. Versi 9.0, 9.1, dan 9.2 semua rentan. Segera setelah kerentanan ini bisa melihat, para pengembang di PostgreSQL segera merilis update sambil menanggapi "tinggi paparan kerentanan keamanan dalam versi 9.0 dan kemudian." Pembaruan tersedia untuk 9.0, 9.1, dan 9.2 cabang, serta 8.4.

Update ini juga memungkinkan PostgreSQL yang akan dibangun menggunakan Microsoft Visual Studio 2012. Menurut pengembang: "Masalah keamanan utama tetap dalam rilis ini, CVE-2013-1899, memungkinkan permintaan sambungan yang berisi nama database yang diawali dengan" - "akan dibuat yang dapat merusak atau menghancurkan file dalam sebuah data server direktori.

Siapapun dengan akses ke port server PostgreSQL mendengarkan pada dapat mengajukan permintaan ini. masalah ini ditemukan oleh Mitsumasa Kondo dan Kyotaro Horiguchi NTT Open Source Software Center. "Selain perbaikan untuk satu masalah utama keamanan, pembaruan juga mencakup empat perbaikan keamanan kecil, serta perbaikan untuk, isu-isu non-terkait keamanan lainnya.

Beberapa perbaikan ini meliputi:

• Sebuah kerentanan keamanan yang membuat string contrib / pgcrypto yang dihasilkan terlalu mudah ditebak;
• Sebuah kerentanan yang akan memungkinkan pengguna unprivileged untuk mengganggu backup;
• Masalah keamanan yang melibatkan OS X dan installer Linux;
• Masalah vaious dengan indeks GIST;
• Sebuah isu yang berkaitan dengan kecelakaan pemulihan, dan
• antara lain kebocoran Memori dan penyangga,.

Daftar lengkap perbaikan dan perangkat tambahan dalam setiap versi dapat ditemukan pada rilis halaman arsip catatan PostgreSQL. Juga PostgreSQL ditambal 9.2.4, 9.1.9, 9.0.13, dan 8.4.17 tersedia sekarang di halaman download. Sementara berbicara tentang perbaikan ini, kami ingin mengingatkan Anda bahwa, di akhir tahun lalu yang lain kerentanan keamanan hit sistem database PostgreSQL, termasuk versi 9.1.5, 9.0.9, 8.4.13 dan 8.3.20. Lubang keamanan yang terkait dengan libxml2 dan libxslt. Seiring dengan itu kerentanan di built-in fungsi XML, dan kerentanan dalam fungsi XSLT disediakan oleh XML2 ekstensi opsional.

Sources: Grey hat

Artikel Terkait