• Atualizações de Segurança para PostGreSQL

    Publicado em 06-10-2010 02:53
    0 Comentários Comentários
    Uma falha em todas as versões do PostgreSQL, desde a versão 7.4, permite aos usuários modificar funções escritas em uma linguagem procedural, como Perl ou Tcl. em runtime (tempo de execução). Devido a este fato, correções para binários e pacotes de código fonte do PostgreSQL 9.0.1 tornaram-se disponíveis no Web Site do projeto nesta última terça-feira. A falha pode perfeitamente ser explorada por usuários que estejam autorizados a utilizar linguagens procedurais se uma função incluir o atributo SECURITY DEFINER. Ele permite aos usuários aumentar os privilégios de acesso. No entanto, os desenvolvedores apontam que o fato de haver a API para uma linguagem procedural instalada não apresenta um risco de segurança em si.



    As correções serão feitas para as versões 7.4 e 8.0 do PostgreSQL, e o suporte para a versão 8.1 será interrompido antes do final do ano. Em relação às atualizações, as mesmas corrigem as falhas para Tcl e Perl, mas nenhuma informação referente à linguagem Python havia sido disponibilizada até o momento. Além disso, houve a informação de que uma atualização para PHP será lançada em um futuro próximo, e de acordo com a divulgação constante nas notas de lançamento, os novos pacotes contêm também outras importantes correções e melhorias. Como medidas de praxe (nesses casos de correção), os desenvolvedores recomendam que todos os usuários migrem para a versão mais recente.


    Saiba Mais:

    [1] PostgreSQL 9.0.1: http://www.postgresql.org/docs/9.0/s...ase-9-0-1.html
    [2] Heise On-line: http://www.h-online.com/security/new...L-1102202.html
    + Enviar Comentário