CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

08/06/2012

Actualitzacions de seguretat per a PostgreSQL

S’han llançat actualitzacions de seguretat per a PostgreSQL, que tanquen dos forats de seguretat i inclou altres 42 correccions d’errors.

Risc: Baix

Les persones usuàries que utilitzen la funció de xifrat inclosa en el mòdul pgcrypto, han d’actualitzar les seues instal·lacions immediatament. L’actualització corregix transformacions incorrectes de contrasenya que poden conduir a contrasenyes més curtes de les desitjades més fàcils d’atacar.

Després de l’actualització, les persones usuàries hauran de tornar a generar totes les contrasenyes que contenen el valor de byte 0x80, per a reparar les contrasenyes encriptades que van ser truncades pel codi defectuós.

L’altre problema de seguretat que s’ha corregit és un error en un controlador de telefonades que podria portar a una caiguda del servidor quan s’aplica SECURITY DEFINDER i SET attributes. Açò pot ser explotat per a crear situacions de denegació de servici (DoS).

Sistemes Afectats:

Versiones de PostgreSQL 9.1.x, 9.0.x, 8.4.x y 8.3.x

Referències:

CVE-2012-2143, CVE-2012-2655

Solució:

Actualitzar les versions 9.1.4, 9.0.8 i 8.4.12 i 8.3.19 de PostgreSQL segons la branca que corresponga

Notes:

Aviso en el portal de PostgreSQL

Font: CCN-CERT

CSIRT-CV