Обновление PostgreSQL с устранением уязвимостей
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.1, 12.5, 11.10, 10.15, 9.6.20 и 9.5.24. Обновления для ветки 9.5 будут формироваться до февраля 2021 г., 9.6 — до ноября 2021 года, 10 — до ноября 2022 года, 11 — до ноября 2023 года, 12 — до ноября 2024 года, 13 до ноября 2025 года.
Всем пользователям рекомендовано срочно установить обновление, в связи с устранением уязвимости CVE-2020–25695, которая позволяет выполнить произвольные функции SQL с правами администратора, при наличии доступа к созданию не временных объектов в любой схеме хранения. При невозможности выполнить обновление в качестве обходного пути блокирования проблемы можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump. Выполнение VACUUM без опции FULL признано безопасным, как и выполнение любых команд при работе с объектами, принадлежащими пользователю.
Дополнительно устранены ещё две уязвимости:
- CVE-2020–25694 — позволяет откатить клиентское соединение до менее безопасного состояния (без флагов channel_binding, sslmode, requirepeer и gssencmode), например, для отключения шифрования с целью организации MITM-атаки. Проблема проявляется только для соединений с сервером приложений clusterdb, pg_dump, pg_restore, psql, reindexdb и vacuumdb.
- CVE-2020–25696 — команда \gset в psql позволяет переопределить специальные переменные и организовать выполнение кода с правами процесса psql при обращении при помощи команды \gset к серверу, подконтрольному злоумышленнику.
Источник: http://www.opennet.ru/opennews/art.shtml? num=54088
© OpenNet
