CVE-2020-21469 no es una vulnerabilidad de seguridad
El Equipo de Seguridad de PostgreSQL se ha enterado de la existencia de la CVE-2020-21469, la cual fue notificada sin el consentimiento previo del mismo equipo de seguridad.
NO SE TRATA DE UNA VULNERABILIDAD DE SEGURIDAD.
La CVE indica que es posible crear una denegación de servicio en PostgreSQL 12.2 enviando repetidas señales SIGHUP (o de recarga) al proceso primario de PostgreSQL. Sin embargo, para lograrlo, es necesario disponer de una cuenta a la que se hayan otorgado de forma explícita privilegios elevados, que incluyen:
- Un superusuario PostgreSQL (
postgres
). - Un usuario al que un superusuario de PostgreSQL otorgó permisos para ejecutar
pg_reload_conf
. - Acceso a un usuario privilegiado del sistema operativo
Si aún están ejecutando PostgreSQL 12.2, les recomendamos que actualicen a una versión más reciente debido a las CVEs existentes y a numerosas correcciones de errores.
Si sospechan la existencia de una vulnerabilidad de seguridad en PostgreSQL, por favor repórtenla primero al Equipo de Seguridad de PostgreSQL para su evaluación. El Equipo de Seguridad de PostgreSQL, durante casi 20 años ha estado manteniendo una lista de vulnerabilidades conocidas . El equipo trabaja en conjunto con todos los que reportan incidencias para determinar si se trata de vulnerabilidades reales y ofrecer transparencia a los usuarios en temas de seguridad.
Para más información sobre el procedimiento para informar vulnerabilidades de seguridad al Equipo de Seguridad de PostgreSQL y el proceso de evaluación de reportes, visiten la página de seguridad:
https://www.postgresql.org/support/security/