В PostgreSQL исправили 11 уязвимостей, включая выполнение кода и утечку MD5-паролей

PostgreSQL Global Development Group выпустила PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23. Обновления закрывают 11 уязвимостей и более 60 ошибок, включая переполнение стека в модуле refint и тайминговый канал при проверке MD5-хешей паролей.

PostgreSQL Global Development Group выпустила обновления для всех поддерживаемых веток PostgreSQL: 18.4, 17.10, 16.14, 15.18 и 14.23. Релиз опубликован 14 мая 2026 года и включает исправления 11 уязвимостей, а также более 60 ошибок.

Наиболее серьёзные проблемы получили оценку CVSS 8.8. Среди них CVE-2026-6637 в модуле refint: переполнение стека позволяет непривилегированному пользователю базы данных выполнить произвольный код от имени пользователя ОС, под которым работает сервер PostgreSQL. Та же оценка у CVE-2026-6473, связанной с integer wraparound и записью за пределы выделенной памяти, CVE-2026-6475 в pg_basebackup/pg_rewind и CVE-2026-6477 в функциях libpq lo_*.

Отдельно разработчики исправили CVE-2026-6478: тайминговый канал при сравнении MD5-хешей паролей мог позволить атакующему восстановить учётные данные, достаточные для входа. Уязвимость не затрагивает пароли scram-sha-256, используемые по умолчанию во всех поддерживаемых версиях, но может касаться баз, обновлявшихся с PostgreSQL 13 или более ранних релизов и сохранивших MD5-хеши.

Разработчики рекомендуют установить новые минорные версии. Как и другие накопительные обновления PostgreSQL, они не требуют pg_upgrade или выгрузки и повторной загрузки базы: достаточно остановить PostgreSQL и обновить бинарные файлы. Для PostgreSQL 14 также напомнили о завершении поддержки 12 ноября 2026 года.