Ver Planes Ver Planes

Blog

  • Home
  • Noticias
  • Lanzamiento de Pgpool-II 4.6.1, 4.5.7, 4.4.12, 4.3.15 y 4.2.22
Noticias

Lanzamiento de Pgpool-II 4.6.1, 4.5.7, 4.4.12, 4.3.15 y 4.2.22

SystemGuards
0 like
26 mayo, 2025

¿Qué es Pgpool-II?

Pgpool-II es una herramienta que permite añadir características útiles a PostgreSQL, como:

  • pool de conexiones
  • balanceo de carga
  • failover automático y más

Versiones menores

El Grupo Global de Desarrollo de Pgpool se complace en anunciar la disponibilidad de las siguientes versiones de Pgpool-II:

  • 4.6.1
  • 4.5.7
  • 4.4.12
  • 4.3.15
  • 4.2.22

Esta versión incluye una corrección de seguridad.

Se ha identificado una vulnerabilidad de omisión de autenticación en el mecanismo de autenticación del cliente de Pgpool-II. En determinadas configuraciones, Pgpool-II podría permitir eludir el proceso de autenticación, incluso cuando debería estar habilitado. Como resultado, un atacante podría iniciar sesión como cualquier usuario, lo que podría derivar en la divulgación de información, manipulación de datos o incluso una interrupción completa del servicio de base de datos (CVE-2025-46801).

Esta vulnerabilidad afecta a los sistemas cuya configuración de autenticación coincide con alguno de los siguientes patrones:

  • Patrón 1: La vulnerabilidad se presenta cuando se cumplen todas las condiciones siguientes::
    • Se utiliza el método de autenticación por contraseña en el archivo pool_hba.conf.
    • La opción allow_clear_text_frontend_auth está configurada en off.
    • La contraseña del usuario no está establecida en el archivo pool_passwd.
    • En pg_hba.conf se utiliza el método de autenticación scram-sha-256 o md5. 
  • Pattern 2: La vulnerabilidad se presenta cuando se cumplen todas las condiciones siguientes:
    • La opción enable_pool_hba está desactivada (off).
    • En pg_hba.conf se utiliza uno de los siguientes métodos de autenticación: password, pam o ldap.
  • Pattern 3: La vulnerabilidad se presenta cuando se cumplen todas las condiciones siguientes:
    • Se utiliza el modo «raw» (backend_clustering_mode = ‘raw’).
    • Se utiliza el método de autenticación md5 en pool_hba.conf.
    • La opción allow_clear_text_frontend_auth está configurada en off.
    • La contraseña del usuario está registrada en el archivo pool_passwd en texto plano o en formato AES.
    • En pg_hba.conf se utiliza uno de los siguientes métodos de autenticación: password, pam o ldap. 

Todas las versiones de Pgpool-II en las series 4.0 y 4.1, desde 4.2.0 hasta 4.2.21, desde 4.3.0 hasta 4.3.14, desde 4.4.0 hasta 4.4.11, desde 4.5.0 hasta 4.5.6 y 4.6.0, se ven afectadas por esta vulnerabilidad. Se recomienda encarecidamente actualizar a las versiones Pgpool-II 4.6.1, 4.5.7, 4.4.12, 4.3.15, 4.2.22 o versiones posteriores. Alternativamente, es posible modificar la configuración para que no coincida con ninguno de los patrones de configuración vulnerables. 

Consulten las notas de la versión para más detalles.

Pueden descargar el código fuente y los RPM.

Haz clic aquí para leer la noticia original en inglés en la página web oficial de PostgreSQL.
Share this post
Blog Advertising

Hit enter to search or ESC to close

Ver Planes