Si en tu organización utilizas el Sistema Gestor de Base de Datos PostgreSQL, tienes que revisar las actualizaciones cuanto antes, ya que se ha lanzado una actualización de seguridad catalogada como crítica. Esta nueva actualización afecta a todas las versiones que actualmente tienen soporte, y solucionan dos problemas de seguridad importantes que os explicamos a continuación.
Problemas de seguridad detectados en PostgreSQL
Se han detectado un total de dos problemas de seguridad importantes, el primero de ellos tiene que ver con el parseo de expresiones regulares, este fallo de seguridad está catalogado como crítica ya que se podrían pasar expresiones regulares que incluyan caracteres no unicode, provocando problemas en el backend. Está catalogada como crítica debido a que se puede producir en casos de usuarios no confiables o en expresiones regulares basadas en la entrada de los usuarios. El identificador asignado a esta vulnerabilidad es CVE-2016-0773.
La segunda vulnerabilidad encontrada podría provocar una escalada de privilegios, ciertas configuraciones personalizadas (GUCS) para PL/Java serían solo modificables por el superusuario de la base de datos. Esta vulnerabilidad tiene el identificador CVE-2016-0766.
Versiones de PostgreSQL afectadas por estos fallos
A continuación podéis ver las versiones afectadas por estos dos fallos de seguridad:
- 9.5.1
- 9.4.6
- 9.3.11
- 9.2.15
- 9.1.20
Otros fallos solucionados en las nuevas versiones
El equipo de desarrollo de PostgreSQL ha aprovechado el lanzamiento de la nueva versión para corregir otros fallos e incorporar novedades, por ejemplo se han solucionado problemas en pg_dump con algunos objetos específicos, además también previene excepciones de puntero flotante en pgbench así como permitir que Python2 y Python3 sean usados en la misma base de datos.
Os recomendamos visitar la página oficial de PostgreSQL donde avisan de esta actualización de seguridad importante, podréis ver en detalle el resto de fallos solucionados en las nuevas versiones y las novedades introducidas en dicha versiones.
Descarga de las nuevas versiones de PostgreSQL
La descarga de las nuevas versiones de PostgreSQL podéis encontrarla en la sección de descargas de la web oficial de PostgreSQL, también tenéis disponible el código fuente para compilar una versión específica de PostgreSQL.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
