Выпущены новые версии PostgreSQL, 9.2.4, 9.1.9, 9.0.13 и 8.4.17, в которых было исправлено несколько серьезных проблем безопасности:
- Возможность испортить или уничтожить некоторые файлы в каталоге с данными БД при специально составленном запросе на установление соединения с сервером (CVE-2013-1899). Аутентификация пользователя не влияет на эту проблему; достаточно наличия доступа к порту БД. Это наиболее важная проблема, ради которой временно был закрыт доступ к репозитариям с исходными тестами проекта для того чтобы информация о уязвимости не была доступа до того момента как появится протестированное исправление. Проблема существует только в версиях 9.x.
- Значения, получаемые из генератора псевдо-случайной последовательности в модуле pgcrypto могут быть предсказаны другими пользователями БД (CVE-2013-1900).
- Непривелигированные пользователи БД могут запустить некоторые команды, которые влияют на выполнение работающего резервного копирования БД (CVE-2013-1901).
Также в релизе были исправлены проблемы безопасности в графическом инсталяторе для Mac OS X и Linux и исправлено некоторое количество (не связанных с безопасностью) ошибок.
>>> Подробности
