PostgreSQL ha publicado nuevas versiones para solucionar dos vulnerabilidades que podrían ser empleadas para conseguir información sensible o provocar denegaciones de servicio.
PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.Detalle de la actualización
- Esta actualización incluye correcciones para evitar una denegación de servicio por un fallo (CVE-2015-5289) en la validación de los valores json o jsonb de entrada construidos desde entradas de usuario arbitrarias. Por otra parte, con CVE-2015-5288, la función crypt() incluida en la extensión opcional pgCrypto podría emplearse para leer bytes adicionales de la memoria.
- De forma adicional, esta actualización también deja desactivada de forma predeterminada la renegociación SSL; anteriormente estaba activa por defecto. La renegociación SSL será eliminada completamente en PostgreSQL 9.5 (y posteriores).
- Además de estas vulnerabilidades se han solucionado 30 problemas no relacionados directamente con la seguridad.
Recomendación
- Se han publicado las versiones PostgreSQL 9.4.5, 9.3.10, 9.2.14, 9.1.19 y 9.0.23 disponibles desde http://www.postgresql.org/download
Más información:
- 2015-10-08 Security Update Release http://www.postgresql.org/about/news/1615/
- E.1. Release 9.4.5 http://www.postgresql.org/docs/current/static/release-9-4-5.html
- E.7. Release 9.3.10 http://www.postgresql.org/docs/current/static/release-9-3-10.html
- E.18. Release 9.2.14 http://www.postgresql.org/docs/current/static/release-9-2-14.html
- E.33. Release 9.1.19 http://www.postgresql.org/docs/current/static/release-9-1-19.html
- E.53. Release 9.0.23 http://www.postgresql.org/docs/current/static/release-9-0-23.html