Обновление PostgreSQL с устранением уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.3, 12.7, 11.12, 10.17 и 9.6.22. Обновления для ветки 9.6 будут формироваться до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 до ноября 2025 года. В новых выпусках устранены три уязвимости и исправлены накопившиеся ошибки.
Уязвимость CVE-2021-32027 может привести к записи данных за границы буфера из-за целочисленного переполнения при вычислениях индексов массивов. Через манипуляцию со значениями массивов в SQL-запросах атакующий, имеющий доступ к выполнению запросов SQL, может записать любые данные в произвольную область памяти процесса и добиться выполнения своего кода с правами сервера СУБД. Две другие уязвимости (CVE-2021-32028, CVE-2021-32029) приводят у течке содержимого памяти процесса при манипуляции с запросами "INSERT ... ON CONFLICT ... DO UPDATE" и "UPDATE ... RETURNING".
Из не связанных с уязвимостями исправлений можно выделить:
- Устранение некорректных вычислений при выполнении "UPDATE ... RETURNING" для обновления объединённых сегментированных таблиц.
- Устранение сбоя команды "ALTER TABLE ... ALTER CONSTRAINT" при
наличии ограничений для внешних ключей в сочетании с использованием сегментированных таблиц.
- Налажена работа функциональности "COMMIT AND CHAIN".
- Для новых выпусков FreeBSD обеспечено выставление по умолчанию режима fdatasync в thatwal_sync_method.
- Отключён по умолчанию параметр vacuum_cleanup_index_scale_factor.
- Исправлены утечки памяти, проявляющиеся при инициализации TLS -соединений.
- В pg_upgrade добавлены дополнительные проверки на наличие в пользовательских таблицах типов данных, не подлежащих обновлению.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.postgresql.org/abo...)
- OpenNews: Обновление PostgreSQL с устранением уязвимостей
- OpenNews: Релиз СУБД PostgreSQL 13
- OpenNews: Для PostgreSQL подготовлено дополнение AGE для хранения данных в форме графа
- OpenNews: PostgreSQL Anonymizer 0.6, расширение для анонимизации данных в СУБД
- OpenNews: Обновление PostgreSQL с устранением уязвимости. Выпуск системы репликации pgcat
Похожие новости:
- [Open source, Java, ERP-системы, CRM-системы, 1С] Как мы сделали программу лояльности для 300 магазинов «У Палыча» на open source iDempiere ERP/CRM
- [Криптография, PostgreSQL, OpenStreetMap, Геоинформационные сервисы] Использование данных OSM для анализа
- Опубликован Kubegres, инструментарий для развёртывания кластера PostgreSQL
- [Python, PostgreSQL, Django, SQL] SQL в DjangoORM
- [PostgreSQL, Облачные сервисы] Использование ClusterControl для аварийного восстановления PostgreSQL в гибридном облаке (перевод)
- [Высокая производительность, PostgreSQL, Администрирование баз данных, Конференции] Что нового полезно знать про базы данных?
- [PostgreSQL, SQL, Microsoft SQL Server] Как быстрее всего передавать данные с PostgreSQL на MS SQL
- [Системное администрирование, PostgreSQL, Администрирование баз данных] Noisia — генератор аварийных и нештатных ситуаций в PostgreSQL
- [PostgreSQL, SQL] PostgreSQL 14: Часть 5 или «весенние заморозки» (Коммитфест 2021-03)
- [PostgreSQL, Data Engineering] pg_obfuscator — обфускатор для postgres с сохранением распределения данных (на основе clickhouse obfuscator)
Теги для поиска: #_postgresql
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 21:03
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.3, 12.7, 11.12, 10.17 и 9.6.22. Обновления для ветки 9.6 будут формироваться до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 до ноября 2025 года. В новых выпусках устранены три уязвимости и исправлены накопившиеся ошибки. Уязвимость CVE-2021-32027 может привести к записи данных за границы буфера из-за целочисленного переполнения при вычислениях индексов массивов. Через манипуляцию со значениями массивов в SQL-запросах атакующий, имеющий доступ к выполнению запросов SQL, может записать любые данные в произвольную область памяти процесса и добиться выполнения своего кода с правами сервера СУБД. Две другие уязвимости (CVE-2021-32028, CVE-2021-32029) приводят у течке содержимого памяти процесса при манипуляции с запросами "INSERT ... ON CONFLICT ... DO UPDATE" и "UPDATE ... RETURNING". Из не связанных с уязвимостями исправлений можно выделить:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 21:03
Часовой пояс: UTC + 5