POSTGRESQL, Actualización de seguridad

PostgreSQL ha publicado una actualización de seguridad que soluciona dos problemas de seguridad, el primero es un problema de parseo de expresiones regulares, y el segundo podría provocar una escalada de privilegios para usuarios de PL/Java. Además también soluciona varios bugs encontrados en los últimos 4 meses. La actualización se ha catalogado de Importancia: 5 – Crítica.

Versiones afectadas:
Todas las versiones de la bases de datos con soporte, incluyendo las versiones:

  • 9.5.1
  • 9.4.6
  • 9.3.11
  • 9.2.15
  • 9.1.20

Detalle e impacto potencial de las vulnerabilidades corregidas:
Para los dos problemas de seguridad principales:

  • Parcheo de expresiones regulares (crítica): se podrían pasar expresiones regulares que incluyan caracteres no unicode, provocando problemas en el backend. Es crítica porque se puede producir en casos de usuarios no confiables o expresiones regulares basadas en los input de los usuarios. Se ha asignado el identificador CVE-2016-0773 a esta vulnerabilidad.
  • Escalada de privilegios: ciertas configuraciones personalizadas (GUCS) para PL/Java serían sólo modificables por el superusuario de la base de datos. Se ha asignado el identificador CVE-2016-0766 a esta vulnerabilidad.

Otros bugs, entre ellos se solucionan:

  • Problemas en pg_dump con algunos objetos específicos.
  • Problemas en tableoid para postgres_fdw.
  • Problemas de sintaxix con instrucciones ON CONFLICT… WHERE.
  • Prevenir excepciones de puntero flotante en pgbench.
  • Expresiones de nombres constantes de dominios en pg_dump.
  • Permitir que Python2 y Python3 sean utilizados en la misma base de datos.
  • La creación de subdirectorios durante initdb.

Recomendación:

  • Para solucionar las vulnerabilidades (CVE-2016-0773 y CVE-2016-0766 ): actualizar las versiones instaladas en lapágina de descargas.
  • Para el resto de bugs: actualizar en la próxima actualización prevista.
Share on FacebookTweet about this on TwitterShare on Google+

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *