Los responsables de la base de datos de código abierto PostgreSQL han parcheado una vulnerabilidad que permitía a los atacantes dañar los archivos y, en algunos casos, ejecutar código malicioso en los servidores subyacentes.
El error, categorizado como CVE-2013-1899, exponía a los usuarios a los «ataques persistentes de denegación de servicio», con los que los piratas informáticos no autenticados podría dañar los archivos de una manera que causaba que el servidor de base de datos se bloqueara y se negara a reiniciar el sistema.
Los servidores afectados sólo podían reiniciarse mediante la eliminación de texto basura de los archivos o restaurarlos desde una copia de seguridad. Las versiones 9.0, 9.1, y 9.2 son vulnerables.
Este fallo permite a los usuarios limitados de una base de datos PostgreSQL elevar sus privilegios cuando se configura de una manera que asigne el mismo nombre para el usuario y la base de datos. Cuando esas condiciones se cumplen, «entonces esta vulnerabilidad puede ser usado para fijar temporalmente una variable de configuración con los privilegios del usuario root», escribieron los responsables de PostgreSQL.
Dichos usuarios que también tenían la posibilidad de guardar los archivos en el sistema también podría ejecutar código malicioso, excepto en los casos en que la base de datos se ejecutan en el sistema operativo SELinux.
La vulnerabilidad fue reportada a los mantenedores el 12 de Marzo. Hay más detalles disponibles en este documento informativo.