Главная проблема безопасности, исправленная в этой версии, CVE-2013-1899, позволяет злоумышленнику повредить или уничтожить некоторые файлы в директории сервера, отправив запрос на подключение к базе данных с именем, начинающимся на "-". Любой, кто имеет доступ к порту PostgreSQL может послать такой запрос.
Две менее серьёзные уязвимости также были исправлены в этой версии. CVE-2013-1900, в которой генерируемые случайные числа в функциях contrib/pgrypto могут быть легко предсказаны пользователем другой базы данных. CVE-2013-1901, в которой непривилегированный пользователь мог повлиять на процесс создания резервных копий БД.
Обновления уже вышли для Debian Wheezy.
Новость на сайте PostgreSQL: http://www.postgresql.org/about/news/1456/
Новость на Linux.Org.Ru: http://www.linux.org.ru/news/security/9032736
ссылка на оригинал статьи http://habrahabr.ru/post/175525/
Добавить комментарий