POSTGRESQL, Actualización de seguridad - Usuario Peru TI

Últimas entradas

POSTGRESQL, Actualización de seguridad

PostgreSQL ha publicado una actualización de seguridad que soluciona dos problemas de seguridad, el primero es un problema de parseo de expresiones regulares, y el segundo podría provocar una escalada de privilegios para usuarios de PL/Java. Además también soluciona varios bugs encontrados en los últimos 4 meses. La actualización se ha catalogado de Importancia: 5 – Crítica.

Versiones afectadas:
Todas las versiones de la bases de datos con soporte, incluyendo las versiones:

  • 9.5.1
  • 9.4.6
  • 9.3.11
  • 9.2.15
  • 9.1.20

Detalle e impacto potencial de las vulnerabilidades corregidas:
Para los dos problemas de seguridad principales:

  • Parcheo de expresiones regulares (crítica): se podrían pasar expresiones regulares que incluyan caracteres no unicode, provocando problemas en el backend. Es crítica porque se puede producir en casos de usuarios no confiables o expresiones regulares basadas en los input de los usuarios. Se ha asignado el identificador CVE-2016-0773 a esta vulnerabilidad.
  • Escalada de privilegios: ciertas configuraciones personalizadas (GUCS) para PL/Java serían sólo modificables por el superusuario de la base de datos. Se ha asignado el identificador CVE-2016-0766 a esta vulnerabilidad.

Otros bugs, entre ellos se solucionan:

  • Problemas en pg_dump con algunos objetos específicos.
  • Problemas en tableoid para postgres_fdw.
  • Problemas de sintaxix con instrucciones ON CONFLICT… WHERE.
  • Prevenir excepciones de puntero flotante en pgbench.
  • Expresiones de nombres constantes de dominios en pg_dump.
  • Permitir que Python2 y Python3 sean utilizados en la misma base de datos.
  • La creación de subdirectorios durante initdb.

Recomendación:

  • Para solucionar las vulnerabilidades (CVE-2016-0773 y CVE-2016-0766 ): actualizar las versiones instaladas en lapágina de descargas.
  • Para el resto de bugs: actualizar en la próxima actualización prevista.
Share on FacebookTweet about this on TwitterShare on Google+

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *