Доступны корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.4.1, 9.3.6, 9.2.10, 9.1.15 и 9.0.19. Выпуск обновлений для ветки 9.0 продлится до сентября 2015 г., 9.1 до сентября 2016 г., 9.2 до сентября 2017 г., 9.3 до сентября 2018 г., 9.4 до декабря 2019 г.
В представленных обновлениях внесены исправления для накопившихся ошибок и устранены 5 уязвимостей, которые проявляются только при наличии аутентифицированного доступа к БД.
- CVE-2015-0241 - переполнение буфера в функции "to_char";
- CVE-2015-0242 - переполнение буфера в замене семейства функций printf;
- CVE-2015-0243 - ошибки работы с памятью в функциях расширения pgcrypto;
- CVE-2015-0244 - ошибка в коде чтения сообщений расширенного протокола;
- CVE-2014-8161 - возможность обхода заданных ограничений, что позволяет отобразить значения на которые у текущего пользователя нет прав доступа.
Из не связанных с безопасностью исправлений отмечается изменение способа экранирования unicode-строк для типов JSON и JSONB ветке PostgreSQL 9.4. В частности, в JSONB больше не допускается использование последовательностей "\\u0000". Устранено возможное повреждение данных, проявляющиеся при перемещении БД в новый tablespace с последующим возвращением обратно.
|