PostgreSQL
ha publicado nuevas
versiones para solucionar tres vulnerabilidades
que podrían ser empleadas por atacantes autenticados para conseguir
información sensible o provocar denegaciones de servicio.
PostgreSQL es una base de datos
relacional "Open Source",
bastante popular en el mundo UNIX, junto a MySQL.
Esta actualización incluye
correcciones para evitar una posible denegación de servicio cuando el cliente
desconecta justo antes de que expire el tiempo de espera de autenticación (CVE-2015-3165).
Algunas llamadas de la familia de la funciones *printf () son vulnerables a una
divulgación de información si se consume toda la memoria en determinado momento
(CVE-2015-3166). Se ha mejorado la detección de fallos en llamadas al sistema.
Por último, en contrib/pgcrypto al descifrar con una
clave incorrecta se producen diferentes mensajes de error, esto podría ayudar a
un atacante a recuperar llaves de otros sistemas (CVE-2015-3167).
De forma adicional, PostgreSQL
recomienda a todos los usuarios que utilizan autenticación Kerberos, GSSAPI o SSPI
asignen include_realm a 1 en pg_hba.conf, en versiones futuras esta será la
configuración por defecto.
Además de estas vulnerabilidades
se han solucionado más de 50 problemas no relacionados directamente con la
seguridad.
Se han publicado las versiones
PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16 y 9.0.20 disponibles desde:
Más información:
PostgreSQL 9.4.2, 9.3.7, 9.2.11,
9.1.16, and 9.0.20 released!
E.1. Release 9.4.2
E.4. Release 9.3.7
E.12. Release 9.2.11
E.24. Release 9.1.16
E.41. Release 9.0.20
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario