Обновление PostgreSQL в связи с обнаружением уязвимостей

7 января 2008 года

Выпущены (Архивная копия от 25 октября 2011 на Wayback Machine) новые версии СУБД PostgreSQL - 8.2.6, 8.1.11, 8.0.15, 7.4.19 и 7.3.21. Обновления связаны с обнаружением уязвимостей:

  • Повышение привилегий через индексы заданные в виде функции ("expression indexes"). Данные функции могут быть вызваны другим пользователем (администратором) во время выполнения VACUUM и ANALYZE, и могут поменять права доступа через вызов SET ROLE и SET SESSION AUTHORIZATION разрешенных внутри такой функции;
  • Возможность вызова отказа в обслуживании (DoS) через задание некорректных регулярных выражений в запросе, приводящих в зацикливанию, чрезмерному потреблению памяти или краху backend процесса;
  • Получение привилегий супурпользователя через функции модуля DBLink (/contrib/dblink, выключен по умолчанию) выполняемые после беспарольной аутентификации "local trust" или "ident".

Из новшеств можно отметить улучшения в работе планировщика выполнения запросов: устранены проблемы с понижением производительности запросов с большой вложенностью, исправлена ошибка при планировании выполнения запросов вида "WHERE false AND var IN (SELECT ...)", проведена оптимизация LIKE/regex запросов для локалей отличных от "С".

Кроме того, объявлено о прекращении поддержки ветки PostgreSQL 7.3, с момента первого релиза в которой прошло 5 лет. PostgreSQL 7.3.21 - последнее обновление в данной ветке.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление PostgreSQL в связи с обнаружением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.