Выпущены (http://www.postgresql.org/about/news.1135) новые релизы во всех поддерживаемых версиях PostgreSQL: 8.4.1 (http://www.postgresql.org/docs/8.4/static/release-8-4-1.html), 8.3.8 (http://www.postgresql.org/docs/8.3/static/release-8-3-8.html), 8.2.14 (http://www.postgresql.org/docs/8.2/static/release-8-2-14.html), 8.1.18 (http://www.postgresql.org/docs/8.1/static/release.html#RELEA...), 8.0.22 (http://www.postgresql.org/docs/8.0/static/release.html#RELEA...) и 7.4.26. Кроме накопившихся исправлений ошибок, в представленных выпусках исправлено три уязвимости (http://www.postgresql.org/support/security), две неопасные и одна умеренной степени риска:
- Локальный пользователь СУБД может организовать выполнение действий с привилегиями администратора базы, используя возможность выполнения операций "RESET ROLE" и "RESET SESSION AUTHORIZATION" в пользовательских функциях, выполняемых с повышенными правами. Проблеме подвержены все поддерживаемые ветки;
- Локальный пользо...URL: http://www.postgresql.org/about/news.1135
Новость: http://www.opennet.me/opennews/art.shtml?num=23352
Я бы ни одну не назвал "с умеренной степенью риска".
> Я бы ни одну не назвал "с умеренной степенью риска".ну смотрите:
• ... в пользовательских функциях, выполняемых с повышенными правами.
что бы создать такую функцию нужно уже быть администратором• ... попытавшись повторно загрузить библиотеки
это да — опасно, но обычный пользователь (не админ) может загружать только из каталога plugins, а в стандартной поставке там ничего нет.• ... в конфигурации допускающей анонимные подключения
аналогично предыдущему, обычно анонимные подключения к базе не разрешают :)другими словами - для реализации этих проблем требуется помощь администратора. первую проблему обычный пользователь не сможет создать, а две других встречаются редко, поэтому «с умеренной степенью риска».
да и этих проблем теперь нет ))