domingo, 11 de octubre de 2015

Nuevas versiones de PostgreSQL corrigen dos vulnerabilidades

PostgreSQL ha publicado nuevas versiones para solucionar dos vulnerabilidades que podrían ser empleadas para conseguir información sensible o provocar denegaciones de servicio.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.

Esta actualización incluye correcciones para evitar una denegación de servicio por un fallo (CVE-2015-5289) en la validación de los valores json o jsonb de entrada construidos desde entradas de usuario arbitrarias. Por otra parte, con CVE-2015-5288, la función crypt() incluida en la extensión opcional pgCrypto podría emplearse para leer bytes adicionales de la memoria.

De forma adicional, esta actualización también deja desactivada de forma predeterminada la renegociación SSL; anteriormente estaba activa por defecto. La renegociación SSL será eliminada completamente en PostgreSQL 9.5 (y posteriores).

Además de estas vulnerabilidades se han solucionado 30 problemas no relacionados directamente con la seguridad.

Se han publicado las versiones PostgreSQL 9.4.5, 9.3.10, 9.2.14, 9.1.19 y 9.0.23 disponibles desde:

Más información:

2015-10-08 Security Update Release

E.1. Release 9.4.5

E.7. Release 9.3.10

E.18. Release 9.2.14

E.33. Release 9.1.19

E.53. Release 9.0.23

                                                                                                  
Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada