Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/05/2015
Nuevas versiones de PostgreSQL
Se publican nuevas versiones de PostgreSQL que corrigen 3 vulnerabilidades.Riesgo: Alto
Además de estas vulnerabilidades se han solucionado más de 50 problemas no relacionados directamente con la seguridad.
El sistema de gestión de bases de datos PostgreSQL muy popular en el mundo UNIX/Linux, ha publicado nuevas versiones que solucionan tres vulnerabilidades que podrían provocar una exfiltración de datos o una denegación de servicios.
Las vulnerabilidades corregidas son las siguientes:
- CVE-2015-3165: Una posible denegación de servicio cuando el cliente desconecta justo antes de que expire el tiempo de espera de autenticación.
- CVE-2015-3166: Llamadas a funciones * printf () son vulnerables a una divulgación de información si se consume toda la memoria en determinado momento.
- CVE-2015-3167: Al descifrar una clave incorrecta se registran mensajes de error que podrían ayudar a un atacante a recuperar las claves de otros sistemas.
Versiones anteriores a PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16 y 9.0.20
Referencias:CVE-2015-3165,CVE-2015-3166,CVE-2015-3167
Solución:Actualizar a las versiones PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16 y 9.0.20 disponibles desde: http://www.postgresql.org/download
Notas:- PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16, and 9.0.20 released!: http://www.postgresql.org/about/news/1587/
- E.1. Release 9.4.2: http://www.postgresql.org/docs/current/static/release-9-4-2.html
- E.4. Release 9.3.7: http://www.postgresql.org/docs/current/static/release-9-3-7.html
- E.12. Release 9.2.11: http://www.postgresql.org/docs/current/static/release-9-2-11.html
- E.24. Release 9.1.16: http://www.postgresql.org/docs/current/static/release-9-1-16.html
- E.41. Release 9.0.20: http://www.postgresql.org/docs/current/static/release-9-0-20.html
Fuente: Hispasec una-al-dia