PostgreSQL
ha publicado nuevas
versiones para solucionar dos vulnerabilidades
que podrían ser empleadas para conseguir
información sensible o provocar denegaciones de servicio.
PostgreSQL es una base de datos
relacional "Open Source",
bastante popular en el mundo UNIX, junto a MySQL.
Esta actualización incluye correcciones
para evitar una denegación de servicio por un fallo (CVE-2015-5289) en la
validación de los valores json o jsonb de entrada construidos desde entradas de
usuario arbitrarias. Por otra parte, con CVE-2015-5288, la función crypt() incluida
en la extensión opcional pgCrypto podría emplearse para leer bytes adicionales
de la memoria.
De forma adicional, esta
actualización también deja desactivada de forma predeterminada la renegociación
SSL; anteriormente estaba activa por defecto. La renegociación SSL será
eliminada completamente en PostgreSQL 9.5 (y posteriores).
Además de estas vulnerabilidades
se han solucionado 30 problemas no relacionados directamente con la seguridad.
Se han publicado las versiones
PostgreSQL 9.4.5, 9.3.10, 9.2.14, 9.1.19 y 9.0.23 disponibles desde:
Más información:
2015-10-08 Security
Update Release
E.1.
Release 9.4.5
E.7.
Release 9.3.10
E.18.
Release 9.2.14
E.33.
Release 9.1.19
E.53.
Release 9.0.23
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario