Вышло обновление PostgreSQL, исправляющее серьёзную уязвимость

от автора

Вышло обновление безопасности для всех текущих версий PostgreSQL, включая 9.2.4, 9.1.9, 9.0.13 и 8.4.17. Это обновление исправляет особо опасную уязвимость в версиях 9.0 и новее. Всем пользователям крайне рекомендуется обновиться.

Главная проблема безопасности, исправленная в этой версии, CVE-2013-1899, позволяет злоумышленнику повредить или уничтожить некоторые файлы в директории сервера, отправив запрос на подключение к базе данных с именем, начинающимся на "-". Любой, кто имеет доступ к порту PostgreSQL может послать такой запрос.

Две менее серьёзные уязвимости также были исправлены в этой версии. CVE-2013-1900, в которой генерируемые случайные числа в функциях contrib/pgrypto могут быть легко предсказаны пользователем другой базы данных. CVE-2013-1901, в которой непривилегированный пользователь мог повлиять на процесс создания резервных копий БД.

Обновления уже вышли для Debian Wheezy.

Новость на сайте PostgreSQL: http://www.postgresql.org/about/news/1456/
Новость на Linux.Org.Ru: http://www.linux.org.ru/news/security/9032736

ссылка на оригинал статьи http://habrahabr.ru/post/175525/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *