Выпуск PostgreSQL 10.5, 9.6.10, 9.5.14, 9.4.19, 9.3.24

Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 10.5, 9.6.10, 9.5.14, 9.4.19 и 9.3.24, в которых представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.3 продлится до сентября 2018 г., 9.4 до декабря 2019 г., 9.5 до января 2021 г., 9.6 - до сентября 2021 года, 10 - до октября 2022 года.

В обновлении исправлено около 40 ошибок и устранены две уязвимости:

  • CVE-2018-10915 - уязвимость в libpq, библиотеке с клиентским API, связанная с отсутствием должного сброса всех переменных состояния соединения при повторном соединении. В частности, может остаться не сброшенная переменная, определяющая необходимость проверки пароля для соединения, что позволяет пользователям надстроек над libpq, таким как расширения dblink и postgres_fdw, подключиться к серверам, не имея соответствующих прав доступа;
  • CVE-2018-10925 - утечка содержимого памяти при выполнении "INSERT ... ON CONFLICT DO UPDATE". Атакующий может инициировать создание таблицы, через которую можно получить доступ к произвольным байтам памяти сервера при выполнении операции "INSERT ... ON CONFLICT DO UPDATE".


08/09/2018 19:00:46
0

комментарии (0)