Bug 9894

Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 11.3, 10.8, 9.6.13, 9.5.17 и 9.4.22, в которых представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.4 продлится до декабря 2019 г., 9.5 до января 2021 г., 9.6 - до сентября 2021 года, 10 - до октября 2022 года, 11 - до ноября 2023 года.

В новых версиях исправлено более 60 ошибок и устранено четыре уязвимости:

Две уязвимости (CVE-2019-10127, CVE-2019-10128) специфичны для платформы Windows и проявляются в инсталляторах от компаний EnterpriseDB и BigSQL, которые не выставляли надлежащих прав доступа на каталог с данными, что позволяло любому непривилегированному пользователю Windows инициировать выполнение кода на уровне сервиса PostgreSQL.

Уязвимость CVE-2019-10129 проявляется в PostgreSQL 11 и позволяет пользователю прочитать произвольные области памяти серверного процесса через отправку специально оформленного запроса INSERT к партицированной таблице.
Уязвимость CVE-2019-10130 позволяет прочитать значения записей, к которым ограничен доступ.

Из исправленных ошибок можно отметить повреждение каталога при выполнении "ALTER TABLE" над партицированной таблицей, крах сервера при возникновении ошибки при попытке сохранения курсора между подтверждениями транзакции, проблемы с производительностью при откате транзакций, охватывающих большое число таблиц, отсутствие поддержи выражения "CREATE TABLE IF NOT EXISTS .. AS EXECUTE ..", утечки памяти.