Udviklingsgruppen af PostgreSQL annoncerede for nylig frigivelsen af en opdatering af alle understøttede versioner af dit databasesystem inklusive 11.3, 10.8, 9.6.13, 9.5.17 og 9.4.22.
Denne fixversion får løst hovedsagelig to sikkerhedsproblemer i PostgreSQL-serveren, et sikkerhedsproblem fundet i to af PostgreSQL Windows-installationsprogrammerne og mere end 60 fejl rapporteret i de sidste tre måneder.
Løst sikkerhedsproblemer
Fire sikkerhedssårbarheder er blevet rettet ved denne version, hvoraf to var meget vigtige at løse, hvilket er følgende:
CVE-2019-10127: BigSQL Windows Installer fjerner ikke tilladte adgangskontrollisteposter
CVE-2019-10128: Windows EnterpriseDB-konfiguration fjerner ikke tilladte ACL-poster
Da Windows EnterpriseDB- og BigSQL-installationsprogrammerne ikke låste PostgreSQL-binære installationsmappe og datakatalogtilladelser, kan en uprivilegeret Windows-brugerkonto og en uprivilegeret PostgreSQL-konto medføre, at vilkårlig kode udføres af PostgreSQL-servicekontoen.
Denne sårbarhed er til stede i alle understøttede versioner af PostgreSQL for disse installatører og kan eksistere i tidligere versioner. Derfor opfordrer udviklerne til opdateringen:
“Brugere, der har installeret PostgreSQL ved hjælp af EnterpriseDB og BigSQL Windows Installer, bør opdatere så hurtigt som muligt. Tilsvarende skal brugere, der kører en hvilken som helst version af PostgreSQL 9.5, 9.6, 10 og 11, også planlægge at opgradere så hurtigt som muligt.
CVE-2019-10129: Hukommelsesoplysning i partition routing
Før denne udgivelse kunne en bruger, der kører PostgreSQL 11, læse vilkårlige bytes fra serverhukommelsen ved at udføre en specielt udformet INSERT-sætning på en partitioneret tabel.
CVE-2019-10130: selektivitetsestimatorer omgår linjesikkerhedspolitikker
PostgreSQL vedligeholder statistikker for tabeller ved at prøve de tilgængelige data i kolonner.
Der er adgang til disse data under høringsplanlægningsprocessen. Før denne udgivelse kunne en bruger, der er i stand til at udføre SQL-forespørgsler med læsetilladelser i en given kolonne, oprette en utæt operatør, der kunne læse alle de data, der vises i denne kolonne.
Fejlrettelser og forbedringer
Denne opdatering det løser også mere end 60 fejl rapporteret i de sidste par måneder. Nogle af disse problemer gælder kun for version 11, men mange vedrører alle understøttede tidligere versioner.
Nogle af disse rettelser inkluderer:
- Forskellige rettelser til korruption af kataloger, herunder relateret til kørsel af ALTER TABLE på et opdelt bord
- Forskellige rettelser til partitionen.
- Rettede mulige fejl "kan ikke få adgang til transaktionsstatus" i txid_status ()
- Fix CREATE VIEW for at tillade ikke-løsrevne visninger
- Rettet inkompatibilitet af GIN-indeks-WAL-poster, der blev introduceret i 11.2, 10.7, 9.6.12, 9.5.16 og 9.4.21, der påvirker replika-servere, der kører disse versioner, når de læser ændringer til GIN-indekser på servere. gamle versioner
- Forskellige rettelser relateret til hukommelseslækage og dynamisk styring af delt hukommelse.
- Forskellige rettelser til forespørgselsplanlæggeren, hvoraf mange burde føre til bedre planlægning.
- Løst et kritisk problem i løbet, hvor en selvforbrugende manager ikke kunne stoppe efter at have modtaget en Smart Stop-anmodning
Med hensyn til opdateringer
Projektet minder om det alle opdateringsversioner af PostgreSQL er kumulative. Som med andre mindre versioner behøver brugerne ikke at dumpe og genindlæse deres database eller bruge pg_upgrade til at anvende denne opdatering, skal du blot stoppe PostgreSQL og opdatere binærfilerne.
Brugere, der sprang over en eller flere opdateringsversioner, skal muligvis tage yderligere trin efter opdateringen. Hvis du er i denne kategori, skal du henvise til udgivelsesnoterne for tidligere versioner for flere detaljer.
Endelig minder udviklingsteamet os om, at PostgreSQL 9.4 ikke længere modtager programrettelser fra den 13. februar 2020.