mises à jour correctives pour toutes les branches PostgreSQL prises en charge : , , , и , qui contient une partie des corrections de bugs. Sortie des mises à jour pour la branche 9.4 jusqu'en décembre 2019, 9.5 jusqu'en janvier 2021, 9.6 jusqu'en septembre 2021, 10 jusqu'en octobre 2022, 11 jusqu'en novembre 2023.
Les nouvelles versions corrigent plus de 60 bugs et éliminent quatre vulnérabilités :
- Deux vulnérabilités (CVE-2019-10127, CVE-2019-10128) sont spécifiques à la plateforme Windows et apparaissent dans les installateurs d'EnterpriseDB et BigSQL, qui n'ont pas défini les droits d'accès appropriés au répertoire de données, ce qui a permis à tout utilisateur Windows non privilégié d'initier exécution de code au niveau du service PostgreSQL.
- La vulnérabilité CVE-2019-10129 apparaît dans PostgreSQL 11 et permet à un utilisateur de lire des zones de mémoire arbitraires d'un processus serveur en envoyant une requête INSERT spécialement conçue à une table partitionnée.
- La vulnérabilité CVE-2019-10130 permet de lire les valeurs des enregistrements dont l'accès est restreint.
Les bugs corrigés incluent la corruption du répertoire lors de l'exécution de « ALTER TABLE » sur une table partitionnée, le crash du serveur lorsqu'une erreur se produit lors de la tentative de sauvegarde du curseur entre les validations de transaction, les problèmes de performances lors de l'annulation de transactions impliquant un grand nombre de tables, le manque de prise en charge du L'expression «CREATE TABLE IF NOT» EXISTE .. AS EXECUTE ..», fuite de mémoire.
Source: opennet.ru