В PostgreSQL 9.2.4, 9.1.9 и 9.0.13 устранена критическая уязвимость
В экстренном порядке выпущены внеплановые корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.2.4, 9.1.9, 9.0.13 и 8.4.17, в которых устранено 5 уязвимостей, одна из которых признана критически опасной. Всем пользователям PostgreSQL рекомендуется незамедлительно осуществить обновление СУБД и проследить, чтобы из посторонних подсетей был закрыт доступ к сетевому порту PostgreSQL. Критически опасная узявимость (СVE-2013–1899) проявляется только в ветках 9.x и позволяет отправить специально оформленный запрос на присоединение к серверу (наличие аккаунта в СУБД не требуется), содержащий имя базы, начинающееся с символа »-», который приведёт к повреждению файлов в директории с данными PostgreSQL.
Что касается менее опасных проблем:
CVE-2013–1900 — позволяет угадать значения генератора случайных чисел, сгенерированных для другого пользователя. CVE-2013–1901 — позволяет непривилегированному пользователю выполнить команды, которые могут повлиять на содержимое выполняемой в текущий момент резервной копии. CVE-2013–1902 — проявляется в создании инсталлятором EnterpriseDB временных файлов с предсказуемыми именами в директории /tmp. CVE-2013–1903 — проявляется в небезопасной передаче инсталлятором EnterpriseDB пароля суперпользвоателя БД в один из скриптов.
© OpenNet
