Обновление PostgreSQL 9.4.1, 9.3.6, 9.2.10, 9.1.15, 9.0.19 с устранением уязвимостей
Доступны корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.4.1, 9.3.6, 9.2.10, 9.1.15 и 9.0.19. Выпуск обновлений для ветки 9.0 продлится до сентября 2015 г., 9.1 до сентября 2016 г., 9.2 до сентября 2017 г., 9.3 до сентября 2018 г., 9.4 до декабря 2019 г. В представленных обновлениях внесены исправления для накопившихся ошибок и устранены 5 уязвимостей, которые проявляются только при наличии аутентифицированного доступа к БД.
CVE-2015–0241 — переполнение буфера в функции «to_char»; CVE-2015–0242 — переполнение буфера в замене семейства функций printf; CVE-2015–0243 — ошибки работы с памятью в функциях расширения pgcrypto; CVE-2015–0244 — ошибка в коде чтения сообщений расширенного протокола; CVE-2014–8161 — возможность обхода заданных ограничений, что позволяет отобразить значения на которые у текущего пользователя нет прав доступа. Из не связанных с безопасностью исправлений отмечается изменение способа экранирования unicode-строк для типов JSON и JSONB ветке PostgreSQL 9.4. В частности, в JSONB больше не допускается использование последовательностей »\u0000». Устранено возможное повреждение данных, проявляющиеся при перемещении БД в новый tablespace с последующим возвращением обратно.
© OpenNet
