Выпуск PostgreSQL 10.5, 9.6.10, 9.5.14, 9.4.19, 9.3.24

Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 10.5, 9.6.10, 9.5.14, 9.4.19 и 9.3.24, в которых представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.3 продлится до сентября 2018 г., 9.4 до декабря 2019 г., 9.5 до января 2021 г., 9.6 — до сентября 2021 года, 10 — до октября 2022 года.

В обновлении исправлено около 40 ошибок и устранены две уязвимости:

  • CVE-2018-10915 — уязвимость в libpq, библиотеке с клиентским API, связанная с отсутствием должного сброса всех переменных состояния соединения при повторном соединении. В частности, может остаться не сброшенная переменная, определяющая необходимость проверки пароля для соединения, что позволяет пользователям надстроек над libpq, таким как расширения dblink и postgres_fdw, подключиться к серверам, не имея соответствующих прав доступа;
  • CVE-2018-10925 — утечка содержимого памяти при выполнении «INSERT … ON CONFLICT DO UPDATE». Атакующий может инициировать создание таблицы, через которую можно получить доступ к произвольным байтам памяти сервера при выполнении операции «INSERT … ON CONFLICT DO UPDATE».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.