Обновление PostgreSQL с устранением уязвимостей


Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.1, 12.5, 11.10, 10.15, 9.6.20 и 9.5.24. Обновления для ветки 9.5 будут формироваться до февраля 2021 г., 9.6 - до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 до ноября 2025 года.

Всем пользователям рекомендовано срочно установить обновление в связи с устранением уязвимости CVE-2020-25695, которая позволяет выполнить произвольные функции SQL с правами администратора при наличии доступа к созданию постоянных объектов в любой схеме хранения. При невозможности выполнить обновление в качестве обходного пути блокирования проблемы можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg\_dump. Выполнение VACUUM без опции FULL признано безопасным, как и выполнение любых команд при работе с объектами, принадлежащими пользователю.

Дополнительно устранены ещё две уязвимости:

  • CVE-2020-25694 - позволяет откатить клиентское соединение до менее безопасного состояния (без флагов channel\_binding, sslmode, requirepeer и gssencmode), например, для отключения шифрования с целью организации MITM-атаки. Проблема проявляется только для соединений с сервером приложений clusterdb, pg\_dump, pg\_restore, psql, reindexdb и vacuumdb.
  • CVE-2020-25696 - команда \gset в psql позволяет переопределить специальные переменные и организовать выполнение кода с правами процесса psql при обращении при помощи команды \gset к серверу, подконтрольному злоумышленнику.

Источник: https://www.opennet.ru/opennews/art.shtml?num=54088


Comments 0