Вышло обновление PostgreSQL с исправлением серьезных проблем безопасности
Выпущены новые версии PostgreSQL, 9.2.4, 9.1.9, 9.0.13 и 8.4.17, в которых было исправлено несколько серьезных проблем безопасности:
Возможность испортить или уничтожить некоторые файлы в каталоге с данными БД при специально составленном запросе на установление соединения с сервером (CVE-2013–1899). Аутентификация пользователя не влияет на эту проблему; достаточно наличия доступа к порту БД. Это наиболее важная проблема, ради которой временно был закрыт доступ к репозитариям с исходными тестами проекта для того чтобы производители дистрибутивов и сборок PostgreSQL успели подготовить обновления. Проблема существует только в версиях 9.x. Значения, получаемые из генератора псевдо-случайной последовательности в модуле pgcrypto могут быть предсказаны другими пользователями БД (CVE-2013–1900). Непривелигированные пользователи БД могу запустить некоторые команды, которые влияют на выполнение работающего резервного копирования БД (CVE-2013–1901). Так же в релизе были исправлены проблемы безопасности в графическом инсталяторе для Mac OS X и Linux и исправлено некоторое количество (не связанных с безопасностью) ошибок.
>>> FAQ по первой проблеме
postgresql, безопасность, уязвимости
Возможность испортить или уничтожить некоторые файлы в каталоге с данными БД при специально составленном запросе на установление соединения с сервером (CVE-2013–1899). Аутентификация пользователя не влияет на эту проблему; достаточно наличия доступа к порту БД. Это наиболее важная проблема, ради которой временно был закрыт доступ к репозитариям с исходными тестами проекта для того чтобы производители дистрибутивов и сборок PostgreSQL успели подготовить обновления. Проблема существует только в версиях 9.x. Значения, получаемые из генератора псевдо-случайной последовательности в модуле pgcrypto могут быть предсказаны другими пользователями БД (CVE-2013–1900). Непривелигированные пользователи БД могу запустить некоторые команды, которые влияют на выполнение работающего резервного копирования БД (CVE-2013–1901). Так же в релизе были исправлены проблемы безопасности в графическом инсталяторе для Mac OS X и Linux и исправлено некоторое количество (не связанных с безопасностью) ошибок.
>>> FAQ по первой проблеме
postgresql, безопасность, уязвимости
Ещё новости по теме:
18:20