9.2.4、9.1.9、9.0.13、8.4.17を含む、PostgreSQLの現在のすべてのバージョン用のセキュリティ更新プログラムがリリースされました。 このアップデートは、バージョン9.0以降の非常に危険な脆弱性を修正します。 すべてのユーザーにアップグレードすることを強くお勧めします。
このバージョンで修正された主なセキュリティ問題CVE-2013-1899により、攻撃者は、「-」で始まる名前のデータベースに接続するリクエストを送信することにより、サーバーディレクトリ内の一部のファイルを破損または破壊できます。 PostgreSQLポートにアクセスできる人はだれでもそのようなリクエストを送信できます。
このバージョンでは、深刻度の低い2つの脆弱性も修正されています。 CVE-2013-1900では、contrib / pgcrypto関数で生成された乱数は、別のデータベースのユーザーが簡単に予測できます。 CVE-2013-1901では、権限のないユーザーがデータベースバックアップの作成プロセスに影響を与える可能性があります。
Debian Wheezy、Ubuntuのアップデートはすでにリリースされています。
PostgreSQLウェブサイトのニュース: http : //www.postgresql.org/about/news/1456/
Linux.Org.Ruのニュース: http : //www.linux.org.ru/news/security/9032736