PostgreSQL ha publicado una actualización de seguridad que soluciona dos problemas de seguridad, el primero es un problema de parseo de expresiones regulares, y el segundo podría provocar una escalada de privilegios para usuarios de PL/Java. Además también soluciona varios bugs encontrados en los últimos 4 meses.

Recursos afectados

 Todas las versiones de la bases de datos con soporte, incluyendo las versiones:
9.5.1
9.4.6
9.3.11
9.2.15

9.1.20

Descripción

PostgreSQL ha publicado una actualización de seguridad que soluciona dos problemas de seguridad, el primero es un problema de parseo de expresiones regulares, y el segundo podría provocar una escalada de privilegios para usuarios de PL/Java. Además también soluciona varios bugs encontrados en los últimos 4 meses.

Solución

Para solucionar las vulnerabilidades (CVE-2016-0773  y CVE-2016-0766 ): actualizar las versiones instaladas en la página de descargas
Para el resto de bugs: actualizar en la próxima actualización prevista.

Detalle

Para los dos problemas de seguridad principales:
Parseo de expresiones regulares (crítica): se podrían pasar expresiones regulares que incluyan caracteres no unicode, provocando problemas en el backend. Es crítica porque se puede producir en casos de usuarios no confiables o expresiones regulares basadas en los input de los usuarios. Se ha asignado el identificador CVE-2016-0773 a esta vulnerabilidad.
Escalada de privilegios: ciertas configuraciones personalizadas (GUCS) para PL/Java serían sólo modificables por el superusuario de la base de datos. Se ha asignado el identificador CVE-2016-0766 a esta vulnerabilidad.
 Otros bugs, entre ellos se solucionan:
Problemas en pg_dump con algunos objetos específicos.
Problemas en tableoid para postgres_fdw.
Problemas de sintaxix con instrucciones ON CONFLICT... WHERE.
Prevenir excepciones de puntero flotante en pgbench.
Expresiones de nombres constantes de dominios en pg_dump.
Permitir que Python2 y Python3 sean utilizados en la misma base de datos.
La creación de subdirectorios durante initdb.

Referencias

PostgreSQL Core Distribution
PostgreSQL Security Information 
Incibe

Te sugiero seguir leyendo...


Actualización de seguridad de PostgreSQL Actualización de seguridad de PostgreSQL...
Tutoriales en linea
¿Te gusta el tutorial?





Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!