Actualizaciones para corregir dos vulnerabilidades en PostgreSQL

lunes, 15 de agosto de 2016

Actualizaciones para corregir dos vulnerabilidades en PostgreSQL

PostgreSQL ha publicado nuevas versiones para todas las versiones soportadas para solucionar dos vulnerabilidades que podrían ser empleadas para provocar condiciones de denegación de servicio o inyección de código.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.

Esta actualización incluye correcciones para evitar una denegación de servicio por un fallo (CVE-2016-5423) en el tratamiento de determinadas expresiones CASE anidadas. Por otra parte, con CVE-2016-5424, una vulnerabilidad en el tratamiento de bases de datos y nombres de rol con caracteres especiales incrustados que podría permitir la inyección de código durante operaciones administrativas como pg_dumpall.

Además de estas vulnerabilidades se han solucionado múltiples problemas no relacionados directamente con la seguridad.

Se han publicado las versiones PostgreSQL 9.5.4, 9.4.9, 9.3.14, 9.2.18 y 9.1.23 disponibles desde:

http://www.postgresql.org/download

Por otra parte se avisa que PostgreSQL versión 9.1 llegará a su final de soporte en septiembre de 2016. Solo se espera la publicación de una actualización más para dicha versión, por lo que se recomienda a los usuarios planear la actualización a una versión posterior tan pronto sea posible.

Más información:

2016-08-11 Security Update Release

https://www.postgresql.org/about/news/1688/

Release 9.5.4

http://www.postgresql.org/docs/9.5/static/release-9-5-4.html

Release 9.4.9

https://www.postgresql.org/docs/9.4/static/release-9-4-9.html

Release 9.3.14

http://www.postgresql.org/docs/9.3/static/release-9-3-14.html

Release 9.2.18

http://www.postgresql.org/docs/9.2/static/release-9-2-18.html

Release 9.1.23