Información de seguridad

Si desea reportar una nueva vulnerabilidad de seguridad en PostgreSQL, por favor envíe un correo electrónico a [email protected]. Para reportar fallas (bugs) no relacionadas con seguridad, por favor vea la página para Reporte de fallas.

El Grupo Global de Desarrolladores de PostgreSQL (PGDG) se toma la seguridad en serio, permitiendo a nuestros usuarios depositar su confianza en los sitios web y aplicaciones que funcionan sobre PostgreSQL. Nuestro enfoque cubre opciones de configuración a prueba de fallos, un servidor de bases de datos robusto y seguro, así como una buena integración con otro software de infraestructura de seguridad.

Las actualizaciones de seguridad de PostgreSQL se hacen disponibles principalmente como actualizaciones de versión menor. Es siempre recomendado que use la última versión menor disponible, pues probablemente también contenga otras correcciones no relacionadas con la seguridad. Todos los problemas de seguridad conocidos están siempre arreglados en la siguiente versión mayor, cuando se libera.

El PGDG cree que la precisión, integridad y disponibilidad de la información de seguridad es esencial para nuestros usuarios. Decidimos agrupar toda la información en una sola página, permitiendo una fácil búsqueda de vulnerabilidades por varios criterios.

Cada vulnerabilidad enumera en qué versiones mayores estuvo presente y en qué versión se solucionaron. También se señala si la vulnerabilidad era explotable sin datos de inicio de sesión válidos. Además se muestra la clase de vulnerabilidad, pero instamos a todos los usuarios a leer la descripción para determinar si la falla afecta configuraciones específicas o no.

Problemas conocidos de seguridad en todas las versiones soportadas

Puede filtrar la vista de los parches para que solo se muestren los parches para la versión:
10 – 9.6 – 9.5 – 9.4 – 9.3 – todas

Referencia Versiones que afectó Arreglado en  Componente y calificación base de CVSS v3 Descripción
CVE-2018-1058
Anuncio
9.3, 9.4, 9.5, 9.6, 10 9.3.22, 9.4.17, 9.5.12, 9.6.8, 10.3 cliente
8.8
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Elemento sin control en el search path en pg_dump y otras aplicaciones cliente
CVE-2018-1053
Anuncio
9.3, 9.4, 9.5, 9.6, 10 9.3.21, 9.4.16, 9.5.11, 9.6.7, 10.2 cliente
6.7
AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
pg_upgrade crea archivos con metadatos confidenciales bajo la máscara umask activa
CVE-2018-1052
Anuncio
10 10.2 servidor principal
6.5
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Fuga de memoria al particionar tablas
CVE-2017-15099
Anuncio
9.5, 9.6, 10 9.5.10, 9.6.6, 10.1 servidor principal
3.1
AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
INSERT … ON CONFLICT DO UPDATE no hacía cumplir los permisos sobre SELECT
CVE-2017-15098
Anuncio
9.3, 9.4, 9.5, 9.6, 10 9.3.20, 9.4.15, 9.5.10, 9.6.6, 10.1 servidor principal
4.3
AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Fuga de memoria en funciones JSON
CVE-2017-12172
Anuncio
9.2, 9.3, 9.4, 9.5, 9.6, 10 9.2.24, 9.3.20, 9.4.15, 9.5.10, 9.6.6, 10.1 módulo contrib
8.4
AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
Scripts de inicio permiten al administrador de base de datos modificar archivos que pertenecen a root
CVE-2017-7548
Anuncio
9.4, 9.5, 9.6 9.4.13, 9.5.8, 9.6.4 servidor principal
3.1
AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
Función lo_put() ignora listas de control de acceso (ACL)
CVE-2017-7547
Anuncio
9.2, 9.3, 9.4, 9.5, 9.6 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4 servidor principal
8.5
AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
La vista pg_user_mappings filtra contraseñas a usuarios que no tienen privilegios en el servidor
CVE-2017-7546
Anuncio
9.2, 9.3, 9.4, 9.5, 9.6 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4 servidor principal
8.1
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Se acepta contraseñas vacías en ciertos métodos de autenticación
CVE-2017-7484
Anuncio
9.2, 9.3, 9.4, 9.5, 9.6 9.2.21, 9.3.17, 9.4.12, 9.5.7, 9.6.3 servidor principal
4.3
AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Estimadores de selectividad omiten revisiones de privilegios para SELECT
CVE-2017-7485
Anuncio
9.3, 9.4, 9.5, 9.6 9.3.17, 9.4.12, 9.5.7, 9.6.3 cliente
8.1
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
libpg ignora la variable de entorno PGREQUIRESSL
CVE-2017-7486
Anuncio
9.2, 9.3, 9.4, 9.5, 9.6 9.2.21, 9.3.17, 9.4.12, 9.5.7, 9.6.3 servidor principal
8.5
AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
La vista pg_user_mappings filtra contraseñas de servidores remotos
CVE-2016-7048
Anuncio
9.1, 9.2, 9.3, 9.4, 9.5 9.1.24, 9.2.19, 9.3.15, 9.4.10, 9.5.5 empaquetamiento
7.5
AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
El instalador interactivo descarga software sobre HTTP plano y luego lo ejecuta
CVE-2016-5423
Anuncio
9.1, 9.2, 9.3, 9.4, 9.5 9.1.23, 9.2.18, 9.3.14, 9.4.9, 9.5.4 servidor principal
4.3
AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Ciertas expresiones con CASE/WHEN anidado pueden hacer caer el servidor
CVE-2016-5424
Anuncio
9.1, 9.2, 9.3, 9.4, 9.5 9.1.23, 9.2.18, 9.3.14, 9.4.9, 9.5.4 cliente
8.5
AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nombres excepcionales para bases de datos y roles podrían permitir elevación de privilegios a superusuario
CVE-2016-0773
Anuncio
9.1, 9.2, 9.3, 9.4, 9.5 9.1.20, 9.2.15, 9.3.11, 9.4.6, 9.5.1 servidor principal
6.5
AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H
Expresiones regulares sin revisar pueden hacer caer el servidor
CVE-2015-5289
Anuncio
9.3, 9.4 9.3.10, 9.4.5 servidor principal
5.9
AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Datos ingresados de tipo JSON sin revisar pueden hacer caer el servidor
CVE-2015-5288
Anuncio
9.0, 9.1, 9.2, 9.3, 9.4 9.0.23, 9.1.19, 9.2.14, 9.3.10, 9.4.5 módulo contrib
3.1
AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
Fuga de memoria en la función crypt()
CVE-2015-3165
Anuncio
9.0, 9.1, 9.2, 9.3, 9.4 9.0.20, 9.1.16, 9.2.11, 9.3.7, 9.4.2 servidor principal
7.5
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Se hace «free» dos veces luego de que se agota el tiempo de espera al autenticar
CVE-2015-3166
Anuncio
9.0, 9.1, 9.2, 9.3, 9.4 9.0.20, 9.1.16, 9.2.11, 9.3.7, 9.4.2 servidor principal
5.6
AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
Errores no anticipados de la biblioteca estándar
CVE-2015-3167
Anuncio
9.0, 9.1, 9.2, 9.3, 9.4 9.0.20, 9.1.16, 9.2.11, 9.3.7, 9.4.2 módulo contrib
3.7
AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
pgcrypto tiene varios mensajes de error para descifrado con una clave incorrecta
CVE-2015-0241
Anuncio
9.0, 9.1, 9.2, 9.3, 9.4 9.0.19, 9.1.15, 9.2.10, 9.3.6, 9.4.1 servidor principal
4.2
AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Desbordamiento de búfers en funciones «to_char»
CVE-2015-0242
Anuncio
9.0, 9.1, 9.2, 9.3, 9.4 9.0.19, 9.1.15, 9.2.10, 9.3.6, 9.4.1 servidor principal
4.2
AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Desbordamiento de búfer en la familia de funciones que reemplazan a printf
CVE-2015-0243
Anuncio
9.0, 9.1, 9.2, 9.3, 9.4 9.0.19, 9.1.15, 9.2.10, 9.3.6, 9.4.1 módulo contrib
6.5
AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H
Errores de memoria en funciones de la extensión pgcrypto
CVE-2015-0244
Anuncio
9.0, 9.1, 9.2, 9.3, 9.4 9.0.19, 9.1.15, 9.2.10, 9.3.6, 9.4.1 servidor principal
8.1
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Un error en la lectura de mensaje de protocolo extendido
CVE-2014-8161 9.0, 9.1, 9.2, 9.3, 9.4 9.0.19, 9.1.15, 9.2.10, 9.3.6, 9.4.1 servidor principal
3.1
AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
Errores de violación de restricciones pueden mostrar valores de columnas para las cuales el usuario normalmente no tendría privilegios para ver
CVE-2014-0067 9.0, 9.1, 9.2, 9.3, 9.4 9.0.19, 9.1.15, 9.2.10, 9.3.6, 9.4.1 otro
7.0
AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Usuarios no autenticados pueden obtener acceso al servidor de base de datos durante «make check».
más detalles

Versiones no soportadas

También puede ver el archivo de parches de seguridad para versiones no soportadas. Tenga en cuenta que ya no se ponen a disponibilidad parches de seguridad adicionales para estas versiones pues han alcanzado el fin de su ciclo de vida.
9.2 – 9.1 – 9.0 – 8.4 – 8.3 – 8.2 – 8.1 – 8.0 – 7.4 – 7.3

Componentes

Se utiliza la siguiente referencia a componentes en la tabla anterior:

Componente Descripción
servidor principal Esta vulnerabilidad existe en el servidor principal.
cliente Esta vulnerabilidad solo existe en una biblioteca o aplicación cliente.
módulo contrib Esta vulnerabilidad existe en un módulo contrib. Los módulos contrib no se instalan de forma predeterminada cuando se instala PostgreSQL desde los fuentes. Estos pueden ser instalados por paquetes binarios.
módulo contrib cliente Esta vulnerabilidad existe en un módulo contrib que solo se usa en el cliente.
empaquetamiento Esta vulnerabilidad existe en el empaquetamiento binario de PostgreSQL, por ejemplo  un instalador o un RPM.

*Fuente: https://www.postgresql.org/support/security/