Пуснаха новите версии на PostgreSQL 11.3 и 10.8 с повече от 60 отстранени грешки

PostgreSQL

Групата за развитие на PostgreSQL наскоро обяви пускането на актуализация от всички поддържани версии на вашата система от бази данни, включително 11.3, 10.8, 9.6.13, 9.5.17 и 9.4.22.

Тази версия за корекция решава главно два проблема със сигурността в сървъра на PostgreSQL, проблем със сигурността, открит в два от инсталаторите на PostgreSQL Windows и над 60 грешки, съобщени през последните три месеца.

Решени проблеми със сигурността

Четири уязвимости в сигурността са коригирани от тази версия, от които две са много важни за решаване, а именно следните:

CVE-2019-10127: BigSQL Windows Installer не премахва разрешителни записи в списъка за контрол на достъпа

CVE-2019-10128: Конфигурацията на Windows EnterpriseDB не премахва разрешителните ACL записи

Тъй като инсталаторите на Windows EnterpriseDB и BigSQL не блокират двоичната инсталационна директория на PostgreSQL и разрешенията за директорията с данни, непривилегирован потребителски акаунт на Windows и непривилегирован акаунт PostgreSQL може да доведе до изпълнение на произволен код от акаунта на услугата PostgreSQL.

Тази уязвимост присъства във всички поддържани версии на PostgreSQL за тези инсталатори и може да съществува в по-ранни версии. Ето защо разработчиците призовават за актуализация:

„Потребителите, които са инсталирали PostgreSQL с помощта на EnterpriseDB и BigSQL Windows Installer, трябва да се актуализират възможно най-скоро. По същия начин потребителите, които изпълняват всяка версия на PostgreSQL 9.5, 9.6, 10 и 11, също трябва да планират да надстроят възможно най-скоро.

CVE-2019-10129: Разкриване на памет при маршрутизиране на дялове

Преди това издание потребител, работещ с PostgreSQL 11, можеше да чете произволни байтове от паметта на сървъра, като изпълняваше специално създаден оператор INSERT на секционирана таблица.

CVE-2019-10130: оценителите на селективност заобикалят политиките за сигурност на линията

PostgreSQL поддържа статистика за таблици, като взема проби от наличните данни в колони.

Тези данни са достъпни по време на процеса на планиране на консултациите. Преди тази версия потребител, способен да изпълнява SQL заявки с разрешения за четене в дадена колона, може да създаде течащ оператор, който може да прочете всички данни, показани в тази колона.

Поправки на грешки и подобрения

Тази актуализация той също така коригира повече от 60 грешки, съобщени през последните няколко месеца. Някои от тези проблеми се отнасят само за версия 11, но много се отнасят до всички поддържани по-ранни версии.

Някои от тези корекции включват:

  • Различни корекции на повреда в каталога, включително свързани със стартирането на ALTER TABLE на секционирана таблица
  • Различни поправки за дяла.
  • Отстранени възможни грешки „няма достъп до състоянието на транзакцията“ в txid_status ()
  • Фиксирана СЪЗДАВАНЕ НА ВИЖДАНЕ, за да се позволи неоткъснати изгледи
  • Поправена е несъвместимост на записите WAL с индекс GIN, въведени в 11.2, 10.7, 9.6.12, 9.5.16 и 9.4.21, засягащи сървъри-реплики, изпълняващи тези версии, при четене на промени в GIN индексите на сървърите. стари версии
  • Различни корекции, свързани с изтичане на памет и динамично управление на споделена памет.
  • Различни корекции на плановика на заявки, много от които трябва да доведат до по-добро планиране.
  • Отстранен критичен проблем в състезанието, при който мениджърът на самопотреблението не можеше да спре след получаване на заявка Smart Stop

По отношение на актуализациите

Проектът припомня това всички актуализирани версии на PostgreSQL са кумулативни. Както при другите малки версии, потребителите не трябва да зареждат и презареждат своята база данни или да използват pg_upgrade, за да приложат тази актуализация, просто спират PostgreSQL и актуализират двоичните файлове.

Потребителите, които са пропуснали една или повече версии на актуализацията, може да се наложи да предприемат допълнителни стъпки след актуализацията. Ако сте в тази категория, трябва да се обърнете към бележките за изданието за предишни версии за повече информация.

Накрая екипът от разработчици ни напомня, че PostgreSQL 9.4 вече няма да получава кръпки от 13 февруари 2020 г.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.