- PVSM.RU - https://www.pvsm.ru -
Вышло обновление безопасности для всех текущих версий PostgreSQL, включая 9.2.4, 9.1.9, 9.0.13 и 8.4.17. Это обновление исправляет особо опасную уязвимость в версиях 9.0 и новее. Всем пользователям крайне рекомендуется обновиться.
Главная проблема безопасности, исправленная в этой версии, CVE-2013-1899 [1], позволяет злоумышленнику повредить или уничтожить некоторые файлы в директории сервера, отправив запрос на подключение к базе данных с именем, начинающимся на "-". Любой, кто имеет доступ к порту PostgreSQL может послать такой запрос.
Две менее серьёзные уязвимости также были исправлены в этой версии. CVE-2013-1900 [2], в которой генерируемые случайные числа в функциях contrib/pgrypto могут быть легко предсказаны пользователем другой базы данных. CVE-2013-1901 [3], в которой непривилегированный пользователь мог повлиять на процесс создания резервных копий БД.
Обновления уже вышли для Debian Wheezy.
Новость на сайте PostgreSQL: http://www.postgresql.org/about/news/1456/ [4]
Новость на Linux.Org.Ru: http://www.linux.org.ru/news/security/9032736 [5]
Автор: lvo
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/postgresql/31253
Ссылки в тексте:
[1] CVE-2013-1899: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899
[2] CVE-2013-1900: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900
[3] CVE-2013-1901: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1901
[4] http://www.postgresql.org/about/news/1456/: http://www.postgresql.org/about/news/1456/
[5] http://www.linux.org.ru/news/security/9032736: http://www.linux.org.ru/news/security/9032736
[6] Источник: http://habrahabr.ru/post/175525/
Нажмите здесь для печати.