Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/06/2012
Actualizaciones de seguridad para PostgreSQL
Se han lanzado actualizaciones de seguridad para PostgreSQL, que cierran dos agujeros de seguridad e incluye otras 42 correcciones de errores.Los usuarios que utilicen la función de cifrado incluida en el módulo pgcrypto, deben actualizar sus instalaciones de inmediato , la actualización corrige transformaciones incorrectas de contraseña que pueden conducir a contraseñas más cortas de lo deseado que son más fáciles de atacar.
Después de la actualización, los usuarios tendrán que volver a generar todas las contraseñas que contienen el valor de byte 0x80, para reparar las contraseñas encriptadas que fueron truncadas por el código defectuoso.
El otro problema de seguridad que se ha corregido es un error en un controlador de llamadas que podría llevar a una caída del servidor cuando se aplica SECURITY DEFINDER y SET attributes. Esto puede ser explotado para crear situaciones de denegación de servicio (DoS).
Versiones de PostgreSQL 9.1.x, 9.0.x, 8.4.x y 8.3.x
Referencias:CVE-2012-2143, CVE-2012-2655
Solución:Actualizar a las versiones 9.1.4, 9.0.8 y 8.4.12 y 8.3.19 de PostgreSQL según la rama que corresponda
Notas:Aviso en el portal de PostgreSQL