Обновление PostgreSQL с устранением уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.1, 12.5, 11.10, 10.15, 9.6.20 и 9.5.24. Обновления для ветки 9.5 будут формироваться до февраля 2021 г., 9.6 - до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 до ноября 2025 года.
Всем пользователям рекомендовано срочно установить обновление, в связи с устранением уязвимости CVE-2020-25695, которая позволяет выполнить произвольные функции SQL с правами администратора,
при наличии доступа к созданию не временных объектов в любой схеме хранения. При невозможности выполнить обновление в качестве обходного пути блокирования проблемы можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump. Выполнение VACUUM без опции FULL признано безопасным, как и выполнение любых команд при работе с объектами, принадлежащими пользователю.
Дополнительно устранены ещё две уязвимости:
- CVE-2020-25694 - позволяет откатить клиентское соединение до менее безопасного состояния (без флагов channel_binding, sslmode, requirepeer и gssencmode), например, для отключения шифрования с целью организации MITM-атаки. Проблема проявляется только для соединений с сервером приложений clusterdb, pg_dump, pg_restore, psql, reindexdb и vacuumdb.
- CVE-2020-25696 - команда \gset в psql позволяет переопределить специальные переменные и организовать выполнение кода с правами процесса psql при обращении при помощи команды \gset к серверу, подконтрольному злоумышленнику.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.postgresql.org/abo...)
- OpenNews: Релиз СУБД PostgreSQL 13
- OpenNews: Для PostgreSQL подготовлено дополнение AGE для хранения данных в форме графа
- OpenNews: PostgreSQL Anonymizer 0.6, расширение для анонимизации данных в СУБД
- OpenNews: Обновление PostgreSQL с устранением уязвимости. Выпуск системы репликации pgcat
Похожие новости:
- [PostgreSQL, SQL] PostgreSQL отложенные SQL ограничения (перевод)
- [PostgreSQL, SQL] Перечислимый тип и PostgreSQL
- [PostgreSQL] Этюд по PITR в PostgreSQL штатными средствами
- [Open source, PostgreSQL, Администрирование баз данных] Знакомство с pg_probackup. Третья часть
- [PostgreSQL, Карьера в IT-индустрии] PostgreSQL: кому и зачем нужны продвинутые навыки работы?
- [PostgreSQL, SQL, Алгоритмы, Ненормальное программирование] SQL HowTo: обрабатываем дерево — упорядочиваем иерархию с рекурсией и без
- [PostgreSQL, Django, Apache] Поднимаем Django стек на MS Windows
- [PostgreSQL] PostgreSQL 14: Часть 2 или «в тени тринадцатой» (Коммитфест 2020-09)
- [Администрирование баз данных, SQL, PostgreSQL, MySQL] Восемь интересных возможностей PostgreSQL, о которых вы, возможно, не знали (перевод)
- [PostgreSQL, SQL, Ненормальное программирование] «Жизнь» на PostgreSQL
Теги для поиска: #_postgresql
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 04:46
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.1, 12.5, 11.10, 10.15, 9.6.20 и 9.5.24. Обновления для ветки 9.5 будут формироваться до февраля 2021 г., 9.6 - до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 до ноября 2025 года. Всем пользователям рекомендовано срочно установить обновление, в связи с устранением уязвимости CVE-2020-25695, которая позволяет выполнить произвольные функции SQL с правами администратора, при наличии доступа к созданию не временных объектов в любой схеме хранения. При невозможности выполнить обновление в качестве обходного пути блокирования проблемы можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump. Выполнение VACUUM без опции FULL признано безопасным, как и выполнение любых команд при работе с объектами, принадлежащими пользователю. Дополнительно устранены ещё две уязвимости:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 04:46
Часовой пояс: UTC + 5