Mises à jour correctives pour toutes les branches PostgreSQL prises en charge : , , , и , qui inclut un lot de corrections de bugs. Publication des mises à jour pour la branche 9.4. jusqu'en décembre 2019, 9.5 jusqu'en janvier 2021, 9.6 jusqu'en septembre 2021, 10 jusqu'en octobre 2022, 11 jusqu'en novembre 2023.
Les nouvelles versions corrigent plus de 60 bugs et éliminent quatre vulnérabilités :
- Deux vulnérabilités (CVE-2019-10127, CVE-2019-10128) sont spécifiques à la plateforme. Windows et apparaissent dans les programmes d'installation d'EnterpriseDB et de BigSQL, qui n'ont pas défini les droits d'accès appropriés au répertoire de données, ce qui permettait à tout utilisateur non privilégié d'y accéder. Windows Lancer l'exécution du code au niveau du service PostgreSQL.
- CVE-2019-10129, une vulnérabilité dans PostgreSQL 11, permet à un utilisateur de lire des zones de mémoire arbitraires d'un processus serveur en envoyant une requête INSERT spécialement conçue à une table partitionnée.
- La vulnérabilité CVE-2019-10130 permet de lire les valeurs des enregistrements dont l'accès est restreint.
Les bugs corrigés incluent la corruption du catalogue lors de l'exécution de « ALTER TABLE » sur une table partitionnée, le blocage du serveur lorsqu'une erreur se produit lors de la tentative d'enregistrement d'un curseur entre les validations de transaction, les problèmes de performances lors de l'annulation de transactions qui s'étendent sur un grand nombre de tables, le manque de prise en charge de l'instruction « CREATE TABLE IF NOT EXISTS .. AS EXECUTE .. » et les fuites de mémoire.
Source: opennet.ru
