The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление PostgreSQL в связи с обнаружением уязвимостей

07.01.2008 20:38

Выпущены новые версии СУБД PostgreSQL - 8.2.6, 8.1.11, 8.0.15, 7.4.19 и 7.3.21. Обновления связаны с обнаружением уязвимостей:

  • Повышение привилегий через индексы заданные в виде функции ("expression indexes"). Данные функции могут быть вызваны другим пользователем (администратором) во время выполнения VACUUM и ANALYZE, и могут поменять права доступа через вызов SET ROLE и SET SESSION AUTHORIZATION разрешенных внутри такой функции;
  • Возможность вызова отказа в обслуживании (DoS) через задание некорректных регулярных выражений в запросе, приводящих в зацикливанию, чрезмерному потреблению памяти или краху backend процесса;
  • Получение привилегий супурпользователя через функции модуля DBLink (/contrib/dblink, выключен по умолчанию) выполняемые после беспарольной аутентификации "local trust" или "ident".

    Из новшеств можно отметить улучшения в работе планировщика выполнения запросов: устранены проблемы с понижением производительности запросов с большой вложенностью, исправлена ошибка при планировании выполнения запросов вида "WHERE false AND var IN (SELECT ...)", проведена оптимизация LIKE/regex запросов для локалей отличных от "С".

    Кроме того, объявлено о прекращении поддержки ветки PostgreSQL 7.3, с момента первого релиза в которой прошло 5 лет. PostgreSQL 7.3.21 - последнее обновление в данной ветке.

    1. Главная ссылка к новости (http://www.postgresql.org/abou...)
    2. secunia.com: PostgreSQL Multiple Vulnerabilities
    3. 8.2.6 release Notes
    Лицензия: CC BY 3.0
    Короткая ссылка: https://opennet.ru/13562-postgresql
    Ключевые слова: postgresql
    При перепечатке указание ссылки на opennet.ru обязательно


    Обсуждение (4) RSS
  • 1, Bregor (??), 17:06, 08/01/2008 [ответить]  
  • +/
    А где же новость про 8.3RC1? :)
     
     
  • 2, GArik (?), 17:56, 08/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ух ты, и правда есть rc1 =)
    Только как-то запрятано.
     
     
  • 3, Quiz (?), 22:11, 08/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    чешется что ль?

    RC1 isn't out. What's available on the ftp site is a preliminary version of
    it, that should not be used.

     
  • 4, Postgresmen (?), 11:14, 09/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вот теперь вышел :-) Джош Беркус объявил о выходе 10 часов назад.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру