Вышло обновление PostgreSQL, исправляющее серьёзную уязвимость

[vasilievvv]

После чтения описания того, что именно это был за баг, мне кажется, что это самый масштабный провал с тех пор, как в Ruby on Rails обнаружили выполнение произвольного кода из-за парсинга YAML. Вопрос о том, как нужно писать ПО, чтобы имя базы данных могло быть воспринято как аргументы командной строки к ней, остаётся открытым.

[lvo]

Косяк большой, но я не считаю, что разработчики дураки. Возможно, одну и ту же функцию использовали для парсинга командной строки и для удалённого соединения. Ну есть небольшой бардак, а где его нет? Это же невероятно огромный и тяжёлый проект.