The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вышли новые версии СУБД PostgreSQL с исправлением уязвимости

09.09.2009 21:44

Выпущены новые релизы во всех поддерживаемых версиях PostgreSQL: 8.4.1, 8.3.8, 8.2.14, 8.1.18, 8.0.22 и 7.4.26. Кроме накопившихся исправлений ошибок, в представленных выпусках исправлено три уязвимости, две неопасные и одна умеренной степени риска:

  • Локальный пользователь СУБД может организовать выполнение действий с привилегиями администратора базы, используя возможность выполнения операций "RESET ROLE" и "RESET SESSION AUTHORIZATION" в пользовательских функциях, выполняемых с повышенными правами. Проблеме подвержены все поддерживаемые ветки;
  • Локальный пользователь СУБД может совершить DoS атаку, вызвав завершение работы сервера, попытавшись повторно загрузить библиотеки, находящиеся в директории $libdir/plugins. Проблеме подвержены ветки 8.4, 8.3 и 8.2;
  • При использовании LDAP аутентификации, в конфигурации допускающей анонимные подключения, возможен вход под заданным пользователем без пароля. Проблеме подвержены ветки 8.3 и 8.2;

Кроме исправления уязвимостей, исправлена давно мешающая Windows пользователям PostgreSQL ошибка, приводящая к сбою с выводом диагностического сообщения "could not reattach shared memory".

  1. Главная ссылка к новости (http://www.postgresql.org/abou...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/23352-postgresql
Ключевые слова: postgresql
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (3) RSS
  • 3, Онаним (?), 10:07, 10/09/2009 [ответить]  
    		• +/
    Я бы ни одну не назвал "с умеренной степенью риска".
     
     
  • 4, Аноним (-), 13:13, 10/09/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    > Я бы ни одну не назвал "с умеренной степенью риска".

    ну смотрите:
    • ... в пользовательских функциях, выполняемых с повышенными правами.
    что бы создать такую функцию нужно уже быть администратором

    • ... попытавшись повторно загрузить библиотеки
    это да — опасно, но обычный пользователь (не админ) может загружать только из каталога plugins, а в стандартной поставке там ничего нет.

    • ... в конфигурации допускающей анонимные подключения
    аналогично предыдущему, обычно анонимные подключения к базе не разрешают :)

    другими словами - для реализации этих проблем требуется помощь администратора. первую проблему обычный пользователь не сможет создать, а две других встречаются редко, поэтому «с умеренной степенью риска».

     
     
  • 5, Vitaly_loki (ok), 16:18, 10/09/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    да и этих проблем теперь нет ))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру