Обновление всех активных веток PostgreSQL (проблемы безопасности)

Объявлено о выпуске обновлений для всех активных веток PostgreSQL: 8.2, 8.1, 8.0, 7.4 и 7.3. Причина обновлений — исправление сразу пяти проблем, связанных с безопасностью. Таким образом, данные обновления рассматриваются как критические и всем администраторам рекомендуется установить новые версии как можно быстрее. Стоит отметить, на данный момент нет информации о том, что какая-либо из обнаруженных уязвимостей была использована злоумышленниками, все они были обнаружены в ходе исследований и анализа безопасности системы.

Краткое описание проблем:

• Превышение привилегий при исользовании функциональных индексов (CVE-2007-6600): функции, используемые при построении индексов, исполнялись от имени суперпользователя и, кроме того, внутри функций было возможно использовать SET ROLE и SET SESSION AUTHORIZATION.
• Отказ в обслуживании (DoS) при использовании регуярных выражений (CVE-2007-4772, CVE-2007-6067, CVE-2007-4769): три уязвимости, обнаруженные в библиотеках для работы с регулярными выражениями, которые используются в PostgreSQL. При использовании определённых регулярных выражениях в SQL-запросах было можно инициировать бесконечный цикл, вызывать потребление чрезмерно большого количества памяти и, наконец, крах серверного процесса.
• Превышение привилегий при использовании DBLink (CVE-2007-6601): использование DBLink-функций вкупе с беспарольными методами аутентификации могло приводить к ситуации, при котороый произвольный пользователь получал права суперпользователя. Данная проблема не затрагивала те инсталляции PostgreSQL, в которых не был установлен contrib-модуль DBLink или в которых возможность аутентификации без пароля отключена.

 

Скачать обновления можно с официального сайта:

• исходные коды: http://www.postgresql.org/ftp/source/;
• сборки для некоторых платформ:  http://www.postgresql.org/ftp/binary/. 

Официальная информация об обновлениях: http://www.postgresql.org/docs/current/static/release.html.