Обновление поддерживаемых веток PostgreSQL с устранением уязвимостей
Выпущены новые корректирующие релизы во всех поддерживаемых ветках PostgreSQL: 8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25 и 7.4.29. В новых версиях исправлена 21 ошибка и устранено 2 уязвимости:- Ошибка в модуле Safe.pm и коде PL/perl позволяет любому пользователю, имеющему доступ к выполнению хранимых процедур PL/perl, обойти ограничения и выполнить произвольный Perl-код в контексте операционной системы сервера.
- Некорректное выставление прав доступа на внутреннюю таблицу pltcl_modules позволяет имеющему доступ к БД пользователю выполнить любой код на языке Tcl в операционной системе сервера, если этому пользователю доступно выполнение хранимых процедур PL/Tcl.
Из исправленных ошибок можно отметить:
- Выполнение команды "ALTER ... SET TABLESPACE" в конфигурации с настроенной системой "теплого" резервного копирования на запасной сервер (Warm Standby), может привести к повреждению данных на запасном сервере. Проблема проявляется только в ветке 8.4.x;
- Исправлено три ошибки, которые могли привести к краху серверного процесса при достаточно маловероятных стечениях обстоятельств;
- Добавлена защита от сброса пользователем некоторых GUC-ов (Global User Configuration) в определениях собственных ролей;
- Налажено выполнение ограничителей (constraint) для наследуемых UPDATE и DELETE запросов в случае когда constraint_exclusion = partition;
- Обновлены файлы с определением часовых поясов, добавлено 12 новых зон, включая изменения для России.
Кроме того, разработчики напоминают, что поддержка веток PostgreSQL 7.4 и 8.0 будет прекращена в июне 2010 года.
© OpenNet