The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление PostgreSQL 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20 с устранением 8 уязвимостей

20.02.2014 22:33

Доступны корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.3.3, 9.2.7, 9.1.12, 9.0.16 и 8.4.20. Выпуск обновлений для ветки 8.4 продлится до июля 2014 г., 9.0 до сентября 2015 г., 9.1 до сентября 2016 г., 9.2 до сентября 2017 г., 9.3 до сентября 2018 г.

Новые выпуски примечательны устранением 8 уязвимостей. Проблема CVE-2014-0060 даёт возможность любому пользователю, являющемуся членом ROLE, делегировать доступ к данному ROLE любому другому пользователю, независимо от наличия ограничения "WITH ADMIN OPTION". Проблемы CVE-2014-0061, CVE-2014-0062 и CVE-2014-0066 позволяют получить доступ к операциям, на выполнение которых у пользователя нет прав. Проблемы CVE-2014-0065, CVE-2014-0064 и CVE-2014-0063 позволяют инициировать переполнение буфера, что потенциально можно использовать для организации выполнения кода с правами серверного процесса СУБД. Проблема CVE-2014-0067 позволяет неавторизированному локальному пользователю получить доступ к СУБД в момент выполнения команды "make check".

Кроме исправлений уязвимостей, в новых выпусках также исправлена порция ошибок, в том числе несколько проблем которые могут привести к нарушению целостности индексов и внешних ключей в процессе репликации или к состоянию, при котором невозможно запустить новый запасной сервер в режиме standby. При использовании конфигурации с запасными серверами, standby-серверы следует обновить в первую очередь, после чего выполнить обновление главного сервера, иначе репликация будет нарушена.

  1. Главная ссылка к новости (http://www.postgresql.org/abou...)
  2. OpenNews: Обновление PostgreSQL 9.3.2, 9.2.6, 9.1.11, 9.0.15, 8.4.19
  3. OpenNews: Обновление PostgreSQL 9.3.1, 9.2.5, 9.1.10, 9.0.14, 8.4.18
  4. OpenNews: Релиз СУБД PostgreSQL 9.3
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: postgresql
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (7) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:25, 20/02/2014 [ответить]  
  • –2 +/
    >9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20

    Зачем они столько веток поддерживают?

     
     
  • 2.2, Аноним (-), 23:40, 20/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Скучно, наверное.
    Или они очень любят все мерджить. :)
     
  • 2.3, Аноним (-), 00:02, 21/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    в старых ветках только критические секьюрити-апдейты
     
  • 2.4, Аноним (-), 00:59, 21/02/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это серьезная(подчёркнуто) БД, её много в продакшине. и появлялась он в конторах, в разное время. И не все обновляются, ради обновления. Да и не всем нужен появляющийся функционал.
     
     
  • 3.6, Аноним (-), 16:44, 21/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Но тогда, может быть, стоит пореже ломать API? А если API не сломано - не открывать новую ветку.
     
     
  • 4.7, Алексей (??), 17:15, 21/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Причем тут вообще API? Людям просто нравится как работает прошлая версия, поэтому переходить на новую пока не видят смысла.
     
  • 2.5, Andrey Mitrofanov (?), 15:15, 21/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем они столько веток поддерживают?

    Они заботятся о своих пользователях в отличие от некоторых. [И +1 "Анониму, 00:59".]

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру