Обновление поддерживаемых веток PostgreSQL с устранением уязвимостей

Выпущены новые корректирующие релизы во всех поддерживаемых ветках PostgreSQL: 8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25 и 7.4.29. В новых версиях исправлена 21 ошибка и устранено 2 уязвимости:
  • Ошибка в модуле Safe.pm и коде PL/perl позволяет любому пользователю, имеющему доступ к выполнению хранимых процедур PL/perl, обойти ограничения и выполнить произвольный Perl-код в контексте операционной системы сервера.
  • Некорректное выставление прав доступа на внутреннюю таблицу pltcl_modules позволяет имеющему доступ к БД пользователю выполнить любой код на языке Tcl в операционной системе сервера, если этому пользователю доступно выполнение хранимых процедур PL/Tcl.

Из исправленных ошибок можно отметить:

  • Выполнение команды "ALTER ... SET TABLESPACE" в конфигурации с настроенной системой "теплого" резервного копирования на запасной сервер (Warm Standby), может привести к повреждению данных на запасном сервере. Проблема проявляется только в ветке 8.4.x;
  • Исправлено три ошибки, которые могли привести к краху серверного процесса при достаточно маловероятных стечениях обстоятельств;
  • Добавлена защита от сброса пользователем некоторых GUC-ов (Global User Configuration) в определениях собственных ролей;
  • Налажено выполнение ограничителей (constraint) для наследуемых UPDATE и DELETE запросов в случае когда constraint_exclusion = partition;
  • Обновлены файлы с определением часовых поясов, добавлено 12 новых зон, включая изменения для России.

Кроме того, разработчики напоминают, что поддержка веток PostgreSQL 7.4 и 8.0 будет прекращена в июне 2010 года.

© OpenNet