Fallos de Timescaledb de Timescale

Fallos CVE de Timescaledb de Timescale Errores CVE en Timescaledb de Timescale

TimescaleDB, una base de datos SQL de serie temporal de código abierto

CVE-2023-25149: Tiene una vulnerabilidad de escalada de privilegios en las versiones 2.8.0 a 2.9.2. Durante la instalación, TimescaleDB crea un trabajo de telemetría que se ejecuta como usuario de instalación. Las consultas ejecutadas como parte de la recopilación de datos de telemetría no se ejecutaron con un `search_path` bloqueado, lo que permitió a los usuarios maliciosos crear funciones que serían ejecutadas por el trabajo de telemetría, lo que condujo a una escalada de privilegios. Para poder aprovechar esta vulnerabilidad, un usuario necesitaría poder crear objetos en una base de datos y luego obtener un superusuario para instalar TimescaleDB en su base de datos. Cuando TimescaleDB se instala como una extensión de confianza, los usuarios que no son superusuarios pueden instalar la extensión sin la ayuda de un superusuario. La versión 2.9.3 corrige este problema. Como atenuante, la `ruta_de_búsqueda` del usuario que ejecuta el trabajo de telemetría se puede bloquear para que no incluya esquemas que puedan escribir otros usuarios. La vulnerabilidad no se puede explotar en instancias en Timescale Cloud y Managed Service para TimescaleDB debido a las disposiciones de seguridad adicionales implementadas en esas plataformas.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-17. Fecha publicación el 2023-02-17. Autor: Oscar olg Mapa del sitio Fuente: cve report