PostgreSQL ha publicado nuevas versiones para solucionar tres vulnerabilidades que podrían ser empleadas por atacantes autenticados para conseguir información sensible o provocar denegaciones de servicio.
PostgreSQL es una base
de datos relacional "Open Source", bastante popular en el mundo UNIX,
junto a MySQL.
Esta actualización
incluye correcciones para evitar una posible denegación de servicio cuando el
cliente desconecta justo antes de que expire el tiempo de espera de
autenticación (CVE-2015-3165). Algunas llamadas de la familia de la funciones
*printf () son vulnerables a una divulgación de información si se consume toda
la memoria en determinado momento (CVE-2015-3166). Se ha mejorado la detección
de fallos en llamadas al sistema.
Por último, en
contrib/pgcrypto al descifrar con una clave incorrecta se producen diferentes
mensajes de error, esto podría ayudar a un atacante a recuperar llaves de otros
sistemas (CVE-2015-3167).
De forma adicional,
PostgreSQL recomienda a todos los usuarios que utilizan autenticación Kerberos,
GSSAPI o SSPI asignen include_realm a 1 en pg_hba.conf, en versiones futuras
esta será la configuración por defecto.
Además de estas
vulnerabilidades se han solucionado más de 50 problemas no relacionados
directamente con la seguridad.
Recomendación
- Se han publicado las versiones PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16 y 9.0.20 disponibles desde: http://www.postgresql.org/download
- PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16, and 9.0.20 released! http://www.postgresql.org/about/news/1587/
- E.1. Release 9.4.2 http://www.postgresql.org/docs/current/static/release-9-4-2.html
- E.4. Release 9.3.7 http://www.postgresql.org/docs/current/static/release-9-3-7.html
- E.12. Release 9.2.11 http://www.postgresql.org/docs/current/static/release-9-2-11.html
- E.24. Release 9.1.16 http://www.postgresql.org/docs/current/static/release-9-1-16.html
- E.41. Release 9.0.20 http://www.postgresql.org/docs/current/static/release-9-0-20.html
