Доступны корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.3.3, 9.2.7, 9.1.12, 9.0.16 и 8.4.20. Выпуск обновлений для ветки 8.4 продлится до июля 2014 г., 9.0 до сентября 2015 г., 9.1 до сентября 2016 г., 9.2 до сентября 2017 г., 9.3 до сентября 2018 г.
Новые выпуски примечательны устранением 8 уязвимостей. Проблема CVE-2014-0060 даёт возможность любому пользователю, являющемуся членом ROLE, делегировать доступ к данному ROLE любому другому пользователю, независимо от наличия ограничения "WITH ADMIN OPTION". Проблемы CVE-2014-0061, CVE-2014-0062 и CVE-2014-0066 позволяют получить доступ к операциям, на выполнение которых у пользователя нет прав. Проблемы CVE-2014-0065, CVE-2014-0064 и CVE-2014-0063 позволяют инициировать переполнение буфера, что потенциально можно использовать для организации выполнения кода с правами серверного процесса СУБД. Проблема CVE-2014-0067 позволяет неавторизированному локальному пользователю получить доступ к СУБД в момент выполнения команды "make check".
Кроме исправлений уязвимостей, в новых выпусках также исправлена порция ошибок, в том числе несколько проблем которые могут привести к нарушению целостности индексов и внешних ключей в процессе репликации или к состоянию, при котором невозможно запустить новый запасной сервер в режиме standby. При использовании конфигурации с запасными серверами, standby-серверы следует обновить в первую очередь, после чего выполнить обновление главного сервера, иначе репликация будет нарушена.
|