В экстренном порядке выпущены внеплановые корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.2.4, 9.1.9, 9.0.13 и 8.4.17, в которых устранено 5 уязвимостей, одна из которых признана критически опасной. Всем пользователям PostgreSQL рекомендуется незамедлительно осуществить обновление СУБД и проследить, чтобы из посторонних подсетей был закрыт доступ к сетевому порту PostgreSQL.
Критически опасная узявимость (СVE-2013-1899) проявляется только в ветках 9.x и позволяет отправить специально оформленный запрос на присоединение к серверу (наличие аккаунта в СУБД не требуется), содержащий имя базы, начинающееся с символа "-", который приведёт к повреждению файлов в директории с данными PostgreSQL.
Что касается менее опасных проблем:
- CVE-2013-1900 - позволяет угадать значения генератора случайных чисел, сгенерированных для другого пользователя.
- CVE-2013-1901 - позволяет непривилегированному пользователю выполнить команды, которые могут повлиять на содержимое выполняемой в текущий момент резервной копии.
- CVE-2013-1902 - проявляется в создании инсталлятором EnterpriseDB временных файлов с предсказуемыми именами в директории /tmp.
- CVE-2013-1903 - проявляется в небезопасной передаче инсталлятором EnterpriseDB пароля суперпользвоателя БД в один из скриптов.