Forum PHP.pl

Zespół programistów tworzących bazę danych PostgreSQL o wolnym i otwartym kodzie wydał aktualizacje eliminujące kilka problemów bezpieczeństwa. PostgreSQL jest projektem o długiej historii – zapoczątkowany został w latach osiemdziesiątych, a od roku 1996 znany jest pod obecną nazwą. Oprogramowanie licencjonowane jest zgodnie z zasadami Berkeley Software Distribution (BSD) i współpracuje z systemami typu Unix (w tym GNU/Linux) oraz Windows.

W poprzednich wersjach oprogramowania (8.4, 8.3, 8.2) zalogowani użytkownicy mogli rozszerzyć swoje uprawnienia i dokonać zatrzymania pracy bazy danych, wymuszając załadowanie bibliotek zawartych w katalogu $libdir/plugins.

Usunięto również znany problem oznaczony w bazie CVE jako CVE-2007-2138, który związany był z brakiem ochrony przed wydaniem polecenia RESET SESSION AUTHORIZATION przez nieuprawnionych użytkowników. Błąd ten dotyczył wydań 8.4, 8.3, 8.2, 8.1, 8.0 i 7.4.

Kolejną naprawioną usterką jest luka w mechanizmie autoryzacji, gdy baza PostgreSQL do uwierzytelnienia korzystała z serwera usług katalogowych używającego protokołu LDAP. Problematyczne było to, że gdy używano anonimowego podłączania się do serwera LDAP (co jest często stosowaną praktyką), to w domyślnej konfiguracji użytkownicy bazy mogli zalogować się, podając puste hasło. Usterka ta występowała w wersji 8.2 i 8.3.

Źródło: Heise-Online