Páginas

quarta-feira, 24 de junho de 2026

RLSA-2026:28208 — Mitigação de ataques de temporização MD5 no PostgreSQL em Rocky Linux 8

 



Mitigação do CVE-2026-6478 no Rocky Linux 8: ataque de timing em autenticação MD5 do PostgreSQL. Atualização crítica dos módulos pgaudit, pg_repack e decoderbufs. Procedimento completo com DNF.



Em 23 de junho de 2026, a Rocky Enterprise Software Foundation publicou o aviso de segurança RLSA-2026:28208, endereçando uma vulnerabilidade de canal de timing encoberto na comparação de senhas com hash MD5 durante a autenticação do PostgreSQL, registrada como CVE-2026-6478.

A falha permite que um atacante em rede, com baixa complexidade e sem privilégios ou interação do usuário, recupere credenciais de autenticação ao observar diferenças temporais na comparação do hash MD5. 

O vetor de ataque é network, a complexidade é baixa e o impacto inclui confidencialidade parcial e integridade parcial.


Pontos críticos:


  • A vulnerabilidade não afeta senhas configuradas com scram-sha-256, que é o padrão nas versões suportadas do PostgreSQL.
  • Afeta versões do PostgreSQL até 14.22, 15.17, 16.13, 17.9 e 18.3.
  • O aviso cobre Rocky Linux 8 e inclui atualizações para os pacotes postgres-decoderbufs, pgaudit e pg_repack.


Pré-requisitos



Armadilha comum — iniciantes tentam instalar o pacote postgresql-server diretamente com dnf install postgresql-server, ignorando o sistema de módulos do AppStream. 

No Rocky Linux 8, o PostgreSQL é gerenciado via módulos DNF. Instalar pacotes avulsos quebra a consistência do módulo e pode impedir a aplicação correta das atualizações de segurança.


Passo a Passo


Identificação do estado atual do módulo

bash
$ dnf module list postgresql

Saída esperada (trecho):

text
Rocky Linux 8 - AppStream
Name            Stream          Profiles                        Summary
postgresql      13 [d]          client, server [d]              PostgreSQL server and client module
postgresql      15              client, server [d]              PostgreSQL server and client module
postgresql      16              client, server [d]              PostgreSQL server and client module

O [d] indica o stream padrão. Confirme que o stream 13 está ativo.

Sincronização dos repositórios


Atualize o cache de metadados para garantir que o repositório AppStream tenha o pacote corrigido:

bash
$ dnf clean all
$ dnf makecache

Por que: O aviso RLSA-2026:28208 foi publicado em 23 de junho de 2026. Sem o cache atualizado, o DNF pode não enxergar a versão mais recente dos pacotes.


Verificação dos pacotes afetados

Liste os pacotes instalados que serão atualizados:

bash
$ dnf check-update --refresh | grep -E "postgres-decoderbufs|pgaudit|pg_repack"

Saída esperada:


text

pgaudit.x86_64                             1.5.0-1.module+el8.10.0+40055+b85d5ce2     appstream

pg_repack.x86_64                         1.4.6-3.module+el8.10.0+40055+b85d5ce2     appstream

postgres-decoderbufs.x86_64       0.10.0-2.module+el8.10.0+40055+b85d5ce2    appstream

bash
$ dnf update --nobest postgresql\* pgaudit pg_repack postgres-decoderbufs

O flag --nobest evita que o DNF tente atualizar para streams mais recentes (ex: 15 ou 16) mantendo-o no stream 13.

Saída esperada (trecho):

text
==============================================================================
 Package                 Architecture   Version                     Repository
==============================================================================
Upgrading:
 pgaudit                 x86_64         1.5.0-1.module+el8.10.0+... appstream
 pg_repack               x86_64         1.4.6-3.module+el8.10.0+... appstream
 postgres-decoderbufs    x86_64         0.10.0-2.module+el8.10.0+... appstream
 postgresql-server       x86_64         13.22-1.module+el8.10.0+... appstream
 ...
Transaction Summary
==============================================================================
Upgrade  12 Packages
Total download size: 24 M
Is this ok [y/N]: y


Por que: O CVE-2026-6478 reside na comparação de hashes MD5 dentro do mecanismo de autenticação do servidor PostgreSQL. 

A atualização do pacote postgresql-server contém a correção no código de comparação de senhas. Os módulos pgaudit, pg_repack e postgres-decoderbufs são atualizados por dependência e compatibilidade de ABI.


Reinicialização do serviço PostgreSQL


Após a atualização dos binários, reinicie o serviço para carregar a nova versão:

bash
$ systemctl restart postgresql
$ systemctl status postgresql

Saída esperada:

text
● postgresql.service - PostgreSQL database server
   Loaded: loaded (/usr/lib/systemd/system/postgresql.service; enabled; vendor preset: disabled)
   Active: active (running) since ...


Verificação da versão corrigida


Confirme que a nova versão do PostgreSQL está em execução:

bash
$ psql -c "SELECT version();"

Saída esperada:

text
                                                           version
----------------------------------------------------------------------------------------------------------------------------
 PostgreSQL 13.22 on x86_64-pc-linux-gnu, compiled by gcc (GCC) 8.5.0 20210514 (Red Hat 8.5.0-22), 64-bit
(1 row)

A versão 13.22 (ou superior) contém a correção para CVE-2026-6478.

📘  Indicação de Leitura 



Esse livro  é um guia prático e abrangente sobre a segurança do sistema operacional Linux como um todo. O livro ensina a pensar como um atacante para fortalecer a defesa do servidor, abordando tópicos fundamentais como:

  • Ferramentas de rede: Nmap, Netcat, knockd.
  • Monitoramento: de arquivos e sistemas de arquivos.
  • Defesas: contra malware e ataques DDoS.
  • Descoberta de vulnerabilidades: como invasores encontram pontos fracos.


Segurança em Servidores Linux Ataque e Defesa: (anúncio) ->  https://link.amazon/B0i1E7SEJ 

Eu ganho uma comissão quando você faz uma compra.


Troubleshooting


Problema: "DNF não encontra a atualização" ou "Nenhum pacote marcado para atualização"

Causa: O repositório AppStream pode estar desatualizado ou o espelho (mirror) utilizado não sincronizou o pacote corrigido.


Solução:

1. Force a atualização dos metadados com um mirror específico:

  1. bash
    $ dnf --refresh update --disablerepo='*' --enablerepo=appstream

2. Verifique o arquivo /etc/yum.repos.d/rocky.repo e ajuste a URL do mirror se necessário:

  1. bash
    $ grep -A 5 "appstream" /etc/yum.repos.d/rocky.repo

3. Como fallback, baixe os RPMs diretamente do errata.rockylinux.org

  1. bash
    $ rpm -Uvh pgaudit-1.5.0-1.module+el8.10.0+40055+b85d5ce2.x86_64.rpm \
         pg_repack-1.4.6-3.module+el8.10.0+40055+b85d5ce2.x86_64.rpm \
         postgresql-server-13.22-1.module+el8.10.0+...x86_64.rpm


Conclusão



O RLSA-2026:28208 corrige o CVE-2026-6478, uma vulnerabilidade de canal de timing na autenticação MD5 do PostgreSQL que permite recuperação de credenciais por atacantes em rede. O procedimento de mitigação é simples e seguro:


  • Atualize o cache DNF com dnf makecache.

  • Execute dnf update postgresql\* pgaudit pg_repack postgres-decoderbufs para aplicar os patches.

  • Reinicie o serviço PostgreSQL com systemctl restart postgresql.


Recomendação adicional de postura de segurança: Ainda que a correção seja aplicada, migre todas as senhas de MD5 para scram-sha-256 — a vulnerabilidade é inerte contra este método de hash, que é o padrão em todas as versões suportadas do PostgreSQL. Para verificar usuários com MD5:

sql
SELECT usename, rolpassword ~ '^md5' AS uses_md5 FROM pg_authid;

Planeje a transição para scram-sha-256 como parte da sua rotina de hardening.




at

Nenhum comentário:

Postar um comentário