Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 11.4, 10.9, 9.6.14, 9.5.18 и 9.4.23. Выпуск обновлений для ветки 9.4 продлится до декабря 2019 г., 9.5 до января 2021 г., 9.6 - до сентября 2021 года, 10 - до октября 2022 года, 11 - до ноября 2023 года.
В новых версиях исправлено 25 ошибок и устранена уязвимость (CVE-2019-10164), которая может привести к переполнению буфера при смене пользователем своего пароля. При помощи указанной уязвимости имеющий доступ к PostgreSQL локальный злоумышленник может через установку очень длинного пароля организовать выполнение своего кода с правами пользователя, под которым выполняется СУБД. Кроме того, уязвимость может быть эксплуатирована на стороне пользователя в процессе прохождения клиентом на базе libpq аутентификации SCRAM, при обращении пользователя к подконтрольному злоумышленнику серверу PostgreSQL. Проблема проявляется в ветках PostgreSQL 10, 11 и 12-beta.
Источник: https://www.opennet.ru/opennews/art.shtml?num=50914
(opennet.ru, мини-новости)
[ON] Обновление PostgreSQL 11.4, 10.9, 9.6.14, 9.5.18 и 9.4.23
Модератор: Модераторы разделов