Estimados Técnicos
Nos ponemos en contacto con Uds para comunicarles que el día 04/04/2013 se ha liberado una actualización de la base de datos PostgreSQL que resuelve principalmente un defecto de seguridad. Adicionalmente esta actualización incluye correcciones a otros defectos menores.
El defecto de seguridad consiste en que una solicitud de conexión a PostgreSQL conteniendo un nombre de base de datos que empiece con “-” maliciosamente armada podría dañar archivos dentro del directorio de datos del servidor.
A quienes afecta este defecto ?
Este defecto sólo está presente en versiones 9.0, 9.1 y 9.2. Por otro lado, la probabilidad de que una Institución sufra un ataque vía este defecto, también depende de cuan expuesto se encuentre el puerto de escucha de PostgreSQL a la comunidad o a internet. En otras palabras si su instalación de PostgreSQL se encuentra en una red protegida por un firewall, usted ya cuenta con un nivel de protección puesto que ningún usuario externo podría acceder al puerto de PostgreSQL y solo lo podrían hacer los usuarios internos de la red.
Sugerimos a las Instituciones que puedan estar alcanzadas por este defecto, realizar la actualización de PostgreSQL lo antes posible. Para mayores detalles acceder a https://wiki.postgresql.org/wiki/20130404ActualizacionSeguridad. Ante cualquier duda enviar un mail a postgresql@siu.edu.ar
Cordiales saludos