Вышло обновление безопасности для всех текущих версий PostgreSQL, включая 9.2.4, 9.1.9, 9.0.13 и 8.4.17. Это обновление исправляет особо опасную уязвимость в версиях 9.0 и новее. Всем пользователям крайне рекомендуется обновиться.
Главная проблема безопасности, исправленная в этой версии, CVE-2013-1899, позволяет злоумышленнику повредить или уничтожить некоторые файлы в директории сервера, отправив запрос на подключение к базе данных с именем, начинающимся на "-". Любой, кто имеет доступ к порту PostgreSQL может послать такой запрос.
Две менее серьёзные уязвимости также были исправлены в этой версии. CVE-2013-1900, в которой генерируемые случайные числа в функциях contrib/pgrypto могут быть легко предсказаны пользователем другой базы данных. CVE-2013-1901, в которой непривилегированный пользователь мог повлиять на процесс создания резервных копий БД.
Обновления уже вышли для Debian Wheezy.
Новость на сайте PostgreSQL: http://www.postgresql.org/about/news/1456/
Новость на Linux.Org.Ru: http://www.linux.org.ru/news/security/9032736
Автор: lvo