В PostgreSQL устранена уязвимость, позволяющая провести DoS-атаку
По данным исследователей безопасности, эксплуатация бреши заключается в использовании простых SQL-команд.
Некорректная работа функции enum_recv в PostgreSQL являлась причиной того, что простые SQL-команды могли спровоцировать отказ в обслуживании приложения. Кроме того, данная уязвимость (CVE-2013-0255) может быть использована для изучения просмотра содержания памяти сервера.
Это стало известно после того, как разработчики PostgreSQL объявили о выпуске исправлений для таких версий СУБД, как 9.2, 9.1, 9.0, 8.4 и 8.3.
Согласно пояснительным заметкам , прилагаемым к отчету исследователей из Red Hat, уязвимость существует из-за ошибки индексирования массива, позволяющей непривилегированному пользователю отправлять запросы и вызывать переполнение буфера.
Стоит отметить, что обновление PostgreSQL до версии 9.2 также исправляет ряд ошибок, влиявших на производительность и замедлявших работу приложения при обработке динамических запросов. Разработчики рекомендуют установить данное обновление тем пользователям, которые используют команду «EXECUTE».
Более того, были исправлены ошибки, вызывавшие сбои в работе PostgreSQL при использовании CREATE/DROP INDEX CONCURRENTLY. Установка указанных обновлений не требует перезагрузки базы данных или ее дампа.
Более подробно ознакомиться с описанием уязвимости можно здесь .
Устали от того, что Интернет знает о вас все?