Доступны корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.5.2, 9.4.7, 9.3.12, 9.2.16 и 9.1.21, в которых устранено две уязвимости и представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.1 продлится до сентября 2016 г., 9.2 до сентября 2017 г., 9.3 до сентября 2018 г., 9.4 до декабря 2019 г., 9.5 до января 2021 г.
Уязвимость CVE-2016-2193 позволяет повторно использовать план запроса для более чем одного пользователя (ROLE) в том же сеансе, что может привести к установке неверного набора RLS-правил (Row Level Security). Уязвимость CVE-2016-3065 может быть использована для инициирования краха сервера и получения доступа к нескольким байтам памяти сервера при использовании pageinspect с индексом BRIN. Кроме того в версии 9.5.2 отключена по умолчанию опция Abbreviated Keys из-за сообщений о повреждениях индексов. Проблема может коснуться индексов B-tree для столбцов TEXT, VARCHAR и CHAR при использовании локали, отличной от "C".
|