В PostgreSQL устранена уязвимость, позволяющая провести DoS-атаку

image

Теги: PostgreSQL, уязвимость, DoS-атака

По данным исследователей безопасности, эксплуатация бреши заключается в использовании простых SQL-команд.

Некорректная работа функции enum_recv в PostgreSQL являлась причиной того, что простые SQL-команды могли спровоцировать отказ в обслуживании приложения. Кроме того, данная уязвимость (CVE-2013-0255) может быть использована для изучения просмотра содержания памяти сервера.

Это стало известно после того, как разработчики PostgreSQL объявили о выпуске исправлений для таких версий СУБД, как 9.2, 9.1, 9.0, 8.4 и 8.3.

Согласно пояснительным заметкам, прилагаемым к отчету исследователей из Red Hat, уязвимость существует из-за ошибки индексирования массива, позволяющей непривилегированному пользователю отправлять запросы и вызывать переполнение буфера.

Стоит отметить, что обновление PostgreSQL до версии 9.2 также исправляет ряд ошибок, влиявших на производительность и замедлявших работу приложения при обработке динамических запросов. Разработчики рекомендуют установить данное обновление тем пользователям, которые используют команду «EXECUTE».

Более того, были исправлены ошибки, вызывавшие сбои в работе PostgreSQL при использовании CREATE/DROP INDEX CONCURRENTLY. Установка указанных обновлений не требует перезагрузки базы данных или ее дампа.

Более подробно ознакомиться с описанием уязвимости можно здесь


или введите имя

CAPTCHA