Обновление PostgreSQL 9.1.3, 9.0.7, 8.4.11 и 8.3.18 с устранением уязвимостей

Доступны плановые корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.1.3 (45 исправлений), 9.0.7, 8.4.11 и 8.3.18. Выпуск обновлений для ветки 8.2.x прекращён, пользователям рекомендуется произвести обновление до актуальных веток. Поддержка PostgreSQL 8.3 продлится до февраля 2013 года, 8.4 - июля 2014 г., 9.0 - сентября 2015 г., 9.1 - сентября 2016 г.

Кроме исправления влияющих на стабильность ошибок, в новых выпусках отмечено устранение трёх уязвимостей:

  • Отсутствие проверки прав доступа к функции, при её вызове из триггера. Через создание триггера пользователи могут вызвать функции, на выполнение которых у них нет полномочий (прав EXECUTE);
  • При проверке SSL-сертификата имя сертификата обрезалось до 32 символов;
  • В именах объектов, размещаемых в блоке комментариев, при создании дампа при помощи утилиты pg_dump не выполнялось экранирование символов возврата каретки и перевода строки, что могло быть использовано для инициирования выполнения конструкций злоумышленника при загрузке такого дампа.

Дополнительно отмечается исправление серьёзных ошибок в коде бинарной репликации, hot standby (при обработке DROP TABLESPACE), GIN, WITH (при выполнении модификации при READ COMMITTED), foreign data wrappers, PL/pgsql (утечка памяти), PL/python, типе inet, intarray, pgcrypto, pg_upgrade, pg_restore и pg_dump. Устранена возможность повреждение btree индекса при добавлении данных одновременно с выполнение операции VACUUM. При смене владельца таблицы добавлено изменение прав на уровне столбцов, а не только на уровне таблиц. Ликвидирована утечка памяти при работе с типами inet/cidr.

© OpenNet