{"id":1441779,"date":"2024-11-15T07:43:34","date_gmt":"2024-11-15T07:43:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-falla-de-alta-gravedad-en-postgresql-permite-a-los-piratas-informaticos-explotar-variables-de-entorno\/"},"modified":"2024-11-15T07:43:39","modified_gmt":"2024-11-15T07:43:39","slug":"una-falla-de-alta-gravedad-en-postgresql-permite-a-los-piratas-informaticos-explotar-variables-de-entorno","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-falla-de-alta-gravedad-en-postgresql-permite-a-los-piratas-informaticos-explotar-variables-de-entorno\/","title":{"rendered":"Una falla de alta gravedad en PostgreSQL permite a los piratas inform\u00e1ticos explotar variables de entorno"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de noviembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad\/Seguridad de la base de datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han revelado una falla de seguridad de alta gravedad en el sistema de base de datos de c\u00f3digo abierto PostgreSQL que podr\u00eda permitir a usuarios sin privilegios alterar variables de entorno y potencialmente conducir a la ejecuci\u00f3n de c\u00f3digo o la divulgaci\u00f3n de informaci\u00f3n.<\/p>\n

La vulnerabilidad, rastreada como CVE-2024-10979<\/strong>tiene una puntuaci\u00f3n CVSS de 8,8.<\/p>\n

Las variables de entorno son valores definidos por el usuario que pueden permitir que un programa obtenga din\u00e1micamente diversos tipos de informaci\u00f3n, como claves de acceso y rutas de instalaci\u00f3n de software, durante el tiempo de ejecuci\u00f3n sin tener que codificarlas. En determinados sistemas operativos, se inicializan durante la fase de inicio.<\/p>\n

“El control incorrecto de las variables de entorno en PostgreSQL PL\/Perl permite que un usuario de base de datos sin privilegios cambie variables de entorno de proceso sensibles (p. ej., CAMINO<\/a>),”PostgreSQL dicho<\/a> en un aviso publicado el jueves.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Esto a menudo es suficiente para permitir la ejecuci\u00f3n de c\u00f3digo arbitrario, incluso si el atacante carece de un usuario del sistema operativo del servidor de base de datos”.<\/p>\n

La falla se solucion\u00f3 en las versiones 17.1, 16.5, 15.9, 14.14, 13.17 y 12.21 de PostgreSQL. Los investigadores de Varonis, Tal Peleg y Coby Abrams, que descubrieron el problema, dicho<\/a> podr\u00eda provocar “problemas de seguridad graves” seg\u00fan el escenario del ataque.<\/p>\n

Esto incluye, entre otros, la ejecuci\u00f3n de c\u00f3digo arbitrario modificando variables de entorno como PATH, o la extracci\u00f3n de informaci\u00f3n valiosa en la m\u00e1quina mediante la ejecuci\u00f3n de consultas maliciosas. <\/p>\n

Actualmente se retienen detalles adicionales sobre la vulnerabilidad para que los usuarios tengan tiempo suficiente para aplicar las correcciones. Tambi\u00e9n se recomienda a los usuarios que restrinjan las extensiones permitidas.<\/p>\n

“Por ejemplo, limitar las concesiones de permisos CREATE EXTENSIONS a extensiones espec\u00edficas y, adem\u00e1s, establecer el par\u00e1metro de configuraci\u00f3n share_preload_libraries para cargar solo las extensiones requeridas, limitando la creaci\u00f3n de funciones seg\u00fan el principio de privilegios m\u00ednimos al restringir el permiso CREATE FUNCTION”, dijo Varonis.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n