PostgreSQL lanza una actualización de seguridad crítica para todas sus versiones con soporte
Si en tu organización utilizas el Sistema Gestor de Base de Datos PostgreSQL, tienes que revisar las actualizaciones cuanto antes, ya que se ha lanzado una actualización de seguridad catalogada como crítica. Esta nueva actualización afecta a todas las versiones que actualmente tienen soporte, y solucionan dos problemas de seguridad importantes que os explicamos a continuación.
Problemas de seguridad detectados en PostgreSQL
Se han detectado un total de dos problemas de seguridad importantes, el primero de ellos tiene que ver con el parseo de expresiones regulares, este fallo de seguridad está catalogado como crítica ya que se podrían pasar expresiones regulares que incluyan caracteres no unicode, provocando problemas en el backend. Está catalogada como crítica debido a que se puede producir en casos de usuarios no confiables o en expresiones regulares basadas en la entrada de los usuarios. El identificador asignado a esta vulnerabilidad es CVE-2016-0773.
La segunda vulnerabilidad encontrada podría provocar una escalada de privilegios, ciertas configuraciones personalizadas (GUCS) para PL/Java serían solo modificables por el superusuario de la base de datos. Esta vulnerabilidad tiene el identificador CVE-2016-0766.
Versiones de PostgreSQL afectadas por estos fallos
A continuación podéis ver las versiones afectadas por estos dos fallos de seguridad:
- 9.5.1
- 9.4.6
- 9.3.11
- 9.2.15
- 9.1.20
Otros fallos solucionados en las nuevas versiones
El equipo de desarrollo de PostgreSQL ha aprovechado el lanzamiento de la nueva versión para corregir otros fallos e incorporar novedades, por ejemplo se han solucionado problemas en pg_dump con algunos objetos específicos, además también previene excepciones de puntero flotante en pgbench así como permitir que Python2 y Python3 sean usados en la misma base de datos.
Os recomendamos visitar la página oficial de PostgreSQL donde avisan de esta actualización de seguridad importante, podréis ver en detalle el resto de fallos solucionados en las nuevas versiones y las novedades introducidas en dicha versiones.
Descarga de las nuevas versiones de PostgreSQL
La descarga de las nuevas versiones de PostgreSQL podéis encontrarla en la sección de descargas de la web oficial de PostgreSQL, también tenéis disponible el código fuente para compilar una versión específica de PostgreSQL.