Доступны корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.4.2, 9.3.7, 9.2.11, 9.1.16 и 9.0.20. Выпуск обновлений для ветки 9.0 продлится до сентября 2015 г., 9.1 до сентября 2016 г., 9.2 до сентября 2017 г., 9.3 до сентября 2018 г., 9.4 до декабря 2019 г.
В новых выпусках веток 9.3 и 9.4 устранена критическая проблема, которая при определённом стечении обстоятельств может привести к повреждению или потере данных на системах с очень большой интенсивностью транзакций (от 1 млн в час) в базах, содержащих большое число внешних ключей. Всем пользователям PostgreSQL 9.3 и 9.4 рекомендуется при первой возможности установить обновление. В новые версии также внесены исправления накопившихся ошибок и устранены 3 уязвимости:
- CVE-2015-3165 - двойной вызов функции free() после истечения таймаута при прохождении аутентификации может быть использован для совершения DoS-атаки неаутентифицированным злоумышленником.
- CVE-2015-3166 - ошибки в стандартной библиотеке могут быть использованы для совершения DoS-атаки злоумышленником, имеющим аутентифицированный доступ к БД;
- CVE-2015-3167 - проблемы в contrib-модуле pgcrypto при расшифровке с некорректным ключем могут быть использованы для повышения привилегий аутентифицированным злоумышленником.
|