Korrektur-Updates für alle unterstützten PostgreSQL-Versionen: , , , und , die eine Reihe von Fehlerbehebungen beinhalten. Die Updates für die Version 9.4 sind bis Dezember 2019, 9.5 bis Januar 2021, 9.6 – bis September 2021, 10 – bis Oktober 2022, 11 – bis November 2023 erhältlich.
In den neuen Versionen wurden mehr als 60 Fehler behoben und vier Sicherheitsanfälligkeiten beseitigt:
- Zwei der Sicherheitsanfälligkeiten (CVE-2019-10127, CVE-2019-10128) sind spezifisch für die Windows-Plattform und treten in den Installationsprogrammen von EnterpriseDB und BigSQL auf, die keine angemessenen Zugriffsrechte auf das Datenverzeichnis gesetzt haben, wodurch es jedem nicht privilegierten Windows-Benutzer ermöglicht wurde, Code im Kontext des PostgreSQL-Dienstes auszuführen.
- Die Sicherheitsanfälligkeit CVE-2019-10129 tritt in PostgreSQL 11 auf und ermöglicht es einem Benutzer, beliebige Bereiche des Serverspeichers durch das Senden einer speziell gestalteten INSERT-Anfrage an eine partitionierte Tabelle zu lesen.
- Die Sicherheitsanfälligkeit CVE-2019-10130 ermöglicht es, Werte von Datensätzen zu lesen, auf die der Zugriff beschränkt ist.
Zu den behobenen Fehlern zählt die Beschädigung des Verzeichnisses bei der Ausführung von „ALTER TABLE“ an partitionierten Tabellen, der Serverabsturz bei Fehlern beim Speichern von Cursorn zwischen Transaktionsbestätigungen, Leistungsprobleme beim Zurücksetzen von Transaktionen, die viele Tabellen umfassen, das Fehlen der Unterstützung für den Ausdruck „CREATE TABLE IF NOT EXISTS .. AS EXECUTE ..“ und Speicherlecks.
Quelle: opennet.ru
