Рекомендация Debian по безопасности

DLA-432-1 postgresql-8.4 -- обновление безопасности LTS

Дата сообщения:
25.02.2016
Затронутые пакеты:
postgresql-8.4
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

В PostgreSQL, серверной системе реляционных баз данных, было обнаружено несколько уязвимостей. Ветка 8.4 в основной ветке разработки более не поддерживается, но она всё ещё имеется в Debian squeeze. Новый малый номер версии LTS содержит исправления, добавленные в основной ветке разработки в версию 9.1.20, которые были перенесены в версию 8.4.22, которая, в свою очередь, является последней версией, официально выпущенной разработчиками PostgreSQL. Эта работа команды LTS для squeeze-lts является проектом сообщества и спонсируется credativ GmbH.

Данный выпуск является последним обновлением LTS для PostgreSQL 8.4. Пользователям следует перейти на более новую версию PostgreSQL как можно скорее.

Переход на версию 8.4.22lts6

Для запуска 8.4.X не требуется делать дамп/восстановление. Тем не менее, если вы выполняете обновление с версии, выпущенной до версии 8.4.22, то обратитесь к соответствующей информации о выпуске.

Исправления

Исправление бесконечных циклов и проблем с переполнением буфера в регулярных выражениях (Том Лэйн)

Слишком длинные интервалы символов в скобках могут приводить в некоторых случаях к бесконечным циклам, а в других случаях к перезаписям памяти. (CVE-2016-0773)

Выполнение внезапного отключения при удалении файла postmaster.pid (Том Лэйн)

Теперь postmaster каждую минуту выполняет проверку того, что файл postmaster.pid всё ещё имеется и содержит соответствующий PID. Если же нет, то он выполняет внезапное отключение, как будто бы он получил сигнал SIGQUIT. Основная мотивация этого изменения состоит в том, что необходимо проверять, чтобы выполнялась очистка неудачных запусков сборочной фермы без какого-либо ручного вмешательства; но это также служит и для ограничения нежелательных эффектов в том случае, если DBA принудительно удаляет postmaster.pid и затем запускает новый postmaster.