Выпуск PostgreSQL 10.5, 9.6.10, 9.5.14, 9.4.19, 9.3.24
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 10.5, 9.6.10, 9.5.14, 9.4.19 и 9.3.24, в которых представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.3 продлится до сентября 2018 г., 9.4 до декабря 2019 г., 9.5 до января 2021 г., 9.6 — до сентября 2021 года, 10 — до октября 2022 года.
В обновлении исправлено около 40 ошибок и устранены две уязвимости:
- CVE-2018–10915 — уязвимость в libpq, библиотеке с клиентским API, связанная с отсутствием должного сброса всех переменных состояния соединения при повторном соединении. В частности, может остаться несброшенной переменная, определяющая необходимость проверки пароля для соединения, что позволяет пользователям надстроек над libpq, таким как расширения dblink и postgres_fdw, подключиться к серверам, не имея соответствующих прав доступа;
- CVE-2018–10925 — утечка содержимого памяти при выполнении «INSERT … ON CONFLICT DO UPDATE». Атакующий может инициировать создание таблицы, через которую можно получить доступ к произвольным байтам памяти сервера при выполнении операции «INSERT … ON CONFLICT DO UPDATE».
© OpenNet