lunes, 25 de mayo de 2015

Nuevas versiones de PostgreSQL corrigen tres vulnerabilidades

PostgreSQL ha publicado nuevas versiones para solucionar tres vulnerabilidades que podrían ser empleadas por atacantes autenticados para conseguir información sensible o provocar denegaciones de servicio. 

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.

Esta actualización incluye correcciones para evitar una posible denegación de servicio cuando el cliente desconecta justo antes de que expire el tiempo de espera de autenticación (CVE-2015-3165). Algunas llamadas de la familia de la funciones * printf () son vulnerables a una divulgación de información si se consume toda la memoria en determinado momento (CVE-2015-3166). Se ha mejorado la detección de fallos en llamadas al sistema.

Por último, en contrib/pgcrypto al descifrar con una clave incorrecta se producen diferentes mensajes de error, esto podría ayudar a un atacante a recuperar llaves de otros sistemas (CVE-2015-3167).

De forma adicional, PostgreSQL recomienda a todos los usuarios que utilizan autenticación Kerberos, GSSAPI o SSPI asignen include_realm a 1 en pg_hba.conf, en versiones futuras esta será la configuración por defecto.

Además de estas vulnerabilidades se han solucionado más de 50 problemas no relacionados directamente con la seguridad.

Se han publicado las versiones PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16 y 9.0.20 disponibles desde:

Más información:

PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16, and 9.0.20 released!

E.1. Release 9.4.2

E.4. Release 9.3.7

E.12. Release 9.2.11

E.24. Release 9.1.16

E.41. Release 9.0.20


Antonio Ropero

Twitter: @aropero

domingo, 24 de mayo de 2015

Disponible en YouTube la conferencia Seguridad en comunicaciones móviles de David Pérez (Layakk), último vídeo del XI Ciclo de las Conferencias TASSI 2015

Se ha publicado en YouTube el vídeo de la conferencia "Seguridad en comunicaciones móviles", de David Pérez de Layakk, última conferencia del XI ciclo UPM TASSI 2015: 

Con este séptimo vídeo, se cierra la publicación en el canal YouTube de la Universidad Politécnica de Madrid de las conferencias del XI Ciclo TASSI de la asignatura Temas Avanzados en Seguridad y Sociedad de la Información, correspondiente al año 2015. Se incluyen los enlaces a todas las conferencias de este ciclo.

1. Vídeo de la conferencia "ULTRA: Enigma y Fish" de D. Román Ceano (Vector3)
Fecha: 19 de febrero de 2015

2. Vídeo de la conferencia "Memorias de un perito informático forense" de D. Lorenzo Martínez (Securízame)
Fecha: 26 de febrero de 2015

3. Vídeo de la conferencia "Hispasec. 16 años de seguridad informática" de D. Antonio Ropero (Hispasec)
Fecha: 5 de marzo de 2015

4. Vídeo de la conferencia "eCrime evolution" de D. Marc Rivero (Deloitte) y D. Dani Creus (Kaspersky)

5. Vídeo de la conferencia "Protección de las comunicaciones críticas por fibra óptica" de D. José María Marín y D. Fernando Barbero (FiberNet)
Fecha: 9 de abril de 2015

6. Vídeo de la conferencia "Malware en Android y Google Play" de D. Sergio de los Santos (Eleven Paths)
Fecha: 16 de abril de 2015

7. Vídeo de la conferencia "Seguridad en comunicaciones móviles" de D. David Pérez (Layakk)
Fecha: 23 de abril de 2015

La documentación utilizada por los ponentes puede descargarse desde Criptored:



Jorge Ramió Aguirre
Coordinador conferencias TASSI