مجموعة تطوير أعلنت PostgreSQL مؤخرًا عن إصدار تحديث لجميع الإصدارات المدعومة من نظام قاعدة البيانات الخاص بك ، بما في ذلك 11.3 و 10.8 و 9.6.13 و 9.5.17 و 9.4.22.
هذا الإصدار الإصلاح يقوم بحل مشكلتين أمنيتين أساسيتين في خادم PostgreSQL، تم العثور على مشكلة أمنية في اثنين من برامج تثبيت PostgreSQL على نظام التشغيل Windows ، وأكثر من 60 خطأ تم الإبلاغ عنها في الأشهر الثلاثة الماضية.
تم حل مشكلات الأمان
تم تصحيح أربع ثغرات أمنية من خلال هذا الإصدار ، كان اثنان منها مهمين للغاية لإصلاحهما ، وهما كالتالي:
CVE-2019-10127: BigSQL Windows Installer لا يزيل إدخالات قائمة التحكم بالوصول المسموح بها
CVE-2019-10128: لا يزيل تكوين Windows EnterpriseDB إدخالات ACL المسموح بها
نظرًا لأن مُثبِّتَي Windows EnterpriseDB و BigSQL لم يقفلوا دليل التثبيت الثنائي PostgreSQL وأذونات دليل البيانات ، يمكن أن يتسبب حساب مستخدم Windows غير المتميز وحساب PostgreSQL غير المتميز في تنفيذ تعليمات برمجية عشوائية بواسطة حساب خدمة PostgreSQL.
هذه الثغرة الأمنية موجودة في جميع الإصدارات المدعومة من PostgreSQL لهذه المثبتات وقد تكون موجودة في الإصدارات السابقة. لهذا السبب يدعو المطورون إلى التحديث:
"يجب على المستخدمين الذين قاموا بتثبيت PostgreSQL باستخدام EnterpriseDB و BigSQL Windows Installer التحديث في أسرع وقت ممكن. وبالمثل ، يجب أن يخطط المستخدمون الذين يشغلون أي إصدار من PostgreSQL 9.5 و 9.6 و 10 و 11 للترقية في أسرع وقت ممكن.
CVE-2019-10129: إفشاء الذاكرة في توجيه التقسيم
قبل هذا الإصدار ، يمكن للمستخدم الذي يقوم بتشغيل PostgreSQL 11 قراءة وحدات البايت العشوائية من ذاكرة الخادم عن طريق تنفيذ عبارة INSERT المصممة خصيصًا على جدول مقسم.
CVE-2019-10130: تتجاوز مقدرات الانتقائية سياسات أمان الخط
تحتفظ PostgreSQL بإحصائيات الجداول عن طريق أخذ عينات من البيانات المتاحة في أعمدة.
يتم الوصول إلى هذه البيانات أثناء عملية التخطيط للتشاور. قبل هذا الإصدار ، يمكن لمستخدم قادر على تنفيذ استعلامات SQL بأذونات قراءة في عمود معين إنشاء عامل تسريب يمكنه قراءة جميع البيانات المعروضة في هذا العمود.
الاصلاحات والتحسينات
هذا التحديث كما أنه يصلح أكثر من 60 خطأ تم الإبلاغ عنها في الأشهر القليلة الماضية. تنطبق بعض هذه المشكلات فقط على الإصدار 11 ، لكن العديد منها يتعلق بجميع الإصدارات السابقة المدعومة.
تتضمن بعض هذه الإصلاحات:
- إصلاحات تلف الكتالوج المختلفة ، بما في ذلك ما يتعلق بتشغيل ALTER TABLE على جدول مقسم
- إصلاحات مختلفة للقسم.
- إصلاح الفشل المحتمل "لا يمكن الوصول إلى حالة المعاملة" في txid_status ()
- تم إصلاح "إنشاء عرض" للسماح بالمشاهد غير المنفصلة
- عدم التوافق الثابت لسجلات WAL لمؤشر GIN الذي تم تقديمه في 11.2 و 10.7 و 9.6.12 و 9.5.16 و 9.4.21 مما يؤثر على خوادم النسخ المتماثلة التي تقوم بتشغيل هذه الإصدارات عند قراءة التغييرات على فهارس GIN للخوادم. الإصدارات القديمة
- إصلاحات مختلفة متعلقة بتسريبات الذاكرة وإدارة الذاكرة المشتركة الديناميكية.
- إصلاحات مختلفة لمخطط الاستعلام ، يجب أن يؤدي الكثير منها إلى تخطيط أفضل.
- تم إصلاح مشكلة حرجة في السباق حيث لم يتمكن مدير الاستهلاك الذاتي من التوقف بعد تلقي طلب الإيقاف الذكي
بخصوص التحديثات
المشروع يذكر ذلك جميع إصدارات التحديث من PostgreSQL تراكمية. كما هو الحال مع الإصدارات الثانوية الأخرى ، لا يتعين على المستخدمين تفريغ قاعدة البيانات الخاصة بهم وإعادة تحميلها أو استخدام pg_upgrade لتطبيق هذا التحديث ، ما عليك سوى إيقاف PostgreSQL وتحديث الثنائيات.
قد يحتاج المستخدمون الذين تخطوا إصدارًا واحدًا أو أكثر من إصدارات التحديث إلى اتخاذ خطوات إضافية بعد التحديث. إذا كنت في هذه الفئة ، يجب عليك الرجوع إلى ملاحظات الإصدار للإصدارات السابقة لمزيد من التفاصيل.
أخيرًا ، يذكرنا فريق التطوير أن PostgreSQL 9.4 لن يتلقى التصحيحات اعتبارًا من 13 فبراير 2020.