Cabecera-v2-web.jpg

Nuevas versiones de PostgreSQL corrigen tres vulnerabilidades



 PostgreSQL ha publicado nuevas versiones para solucionar tres vulnerabilidades que podrí­an ser empleadas por atacantes autenticados para conseguir información sensible o provocar denegaciones de servicio.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL. Esta actualización incluye correcciones para evitar una posible denegación de servicio cuando el cliente desconecta justo antes de que expire el tiempo de espera de autenticación (CVE-2015-3165). Algunas llamadas de la familia de la funciones * printf () son vulnerables a una divulgación de información si se consume toda la memoria en determinado momento (CVE-2015-3166). Se ha mejorado la detección de fallos en llamadas al sistema.

Por último, en contrib/pgcrypto al descifrar con una clave incorrecta se producen diferentes mensajes de error, esto podrí­a ayudar a un atacante a recuperar llaves de otros sistemas (CVE-2015-3167).

De forma adicional, PostgreSQL recomienda a todos los usuarios que utilizan autenticación Kerberos, GSSAPI o SSPI asignen include_realm a 1 en pg_hba.conf, en versiones futuras esta será la configuración por defecto.
Además de estas vulnerabilidades se han solucionado más de 50 problemas no relacionados directamente con la seguridad.
Se han publicado las versiones PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16 y 9.0.20 disponibles desde: http://www.postgresql.org/download



Fuente: hispasec
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11