miércoles, 9 de enero de 2008

Parches para PostgreSQL

Se acaba de liberar una serie de parches para las versiones 8.2, 8.1, 8.0, 7.4 y 7.3 de PostgreSQL, dichos parches corrigen serios errores de seguridad que van desde escalación de privilegios hasta denegación de servicio.

Uno de los problemas se encuentra en los "expression index" (CVE-2007-6600), los indices que se crean sobre el resultado de una función, dicha característica puede permitir una escalación de privilegios.

El siguiente problema se encuentra en el tratamiento de las expresiones regulares (CVE-2007-4772, CVE-2007-6067,CVE-2007-4769) debido a problemas en la librería que las procesa se puede provocar
un consumo excesivo de memoria, debido a la creación de loops infinítos, llevando a una denegación de servicio.

El último problema se encuentra en le paquete contrib llamado DBLink (CVE-2007-6601), utilizado para conectarse a diferentes bases de datos dentro de la misma instancia del servidor postgres. Mediante este problema se puede realizar una escalación de privilegios en sistemas con autetificación ident o trust.

Todos ellos fueron solucionados y pueden descargar los parches desde su site.

Fuente : PostgreSQL releases critical security patches [LWN.net]: