В PostgreSQL устранены опасные уязвимости

Картинка: 

Компания Global Development Group устранила ряд опасных уязвимостей в приложении для работы с базами данных PostgreSQL.

Разработчик PostgreSQL, компания Global Development Group, выпустила обновления безопасности для всех поддерживаемых версий системы баз данных. На сайте производителя доступны обновления для 9.1.3, 9.0.7, 8.4.11 и 8.3.18 версий.

В обновлениях безопасности исправлено 45 ошибок в версии 9.1, в том числе повреждение btree индекса, переходящее обнуление общедоступных буферов во время повторения WAL, очистка условия при SSI транзакции, ошибка неподдерживаемого типа узла, а также утечка памяти при обработке inet/cidr.

Прочие изменения в продукте были сделаны с целью исправления таких проблем, как отсутствие проверки привилегий на вызов функций триггером, ошибка обрезания имени сертификата до 32 символов, которая при определенных обстоятельствах позволяла осуществить спуфинг атаку, а также переводы строк, которые могли использоваться для выполнения произвольного кода во время загрузки pg_dump файла.

«pg_dump не осуществлял обработку входных данных при копировании имен объектов, которые использовались в качестве комментариев в SQL сценарии. Имя объекта, содержащее новую строку перед SQL командой, в dump сценарии преобразовывалось в SQL команду, готовую для выполнения. Таким образом, при выполнении dump сценария эта команда выполнялась с привилегиями пользователя, выполнявшего сценарий», – говорится в уведомлении производителя.

Для устранения уязвимости производитель рекомендует завершить работу приложения и обновить исполняемые файлы.

securitylab.ru