Vulnerabilidad en el paquete de Debian postgresql-common para PostgreSQL (CVE-2017-8806)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
13/11/2017
Última modificación:
20/04/2025
Descripción
Los scripts de Debian pg_ctlcluster, pg_createcluster y pg_upgradecluster, tal y como se distribuyen en el paquete de Debian postgresql-common anterior a 181+deb9u1 para PostgreSQL (y otros paquetes relacionados con Debian y Ubuntu), manipularon vínculos simbólicos de forma no segura, lo que podría desembocar en una denegación de servicio local sobrescribiendo archivos arbitrarios.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:postgresql:postgresql:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:17.04:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://metadata.ftp-master.debian.org/changelogs/main/p/postgresql-common/postgresql-common_181+deb9u1_changelog
- http://www.securityfocus.com/bid/101810
- https://usn.ubuntu.com/usn/usn-3476-1/
- https://www.debian.org/security/2017/dsa-4029
- http://metadata.ftp-master.debian.org/changelogs/main/p/postgresql-common/postgresql-common_181+deb9u1_changelog
- http://www.securityfocus.com/bid/101810
- https://usn.ubuntu.com/usn/usn-3476-1/
- https://www.debian.org/security/2017/dsa-4029