Välja andnud PostgreSQL 11.3 ja 10.8 uued versioonid, kus on parandatud üle 60 vea

postgresql

Arendusgrupp PostgreSQL teatas hiljuti värskenduse väljaandmisest kõigist teie andmebaasisüsteemi toetatud versioonidest, sealhulgas 11.3, 10.8, 9.6.13, 9.5.17 ja 9.4.22.

See paranduse versioon saab lahendada peamiselt kaks PostgreSQL-i serveri turbeprobleemi, kahest PostgreSQL-i Windowsi installerist leitud turvaprobleem ja viimase kolme kuu jooksul teatatud enam kui 60 veast.

Lahendatud turvaküsimused

Selle versiooniga on parandatud neli turvaauku, millest kaks olid lahendamiseks väga olulised, mis on järgmised:

CVE-2019-10127: BigSQL Windows Installer ei eemalda lubatavaid juurdepääsu juhtimise loendi kirjeid

CVE-2019-10128: Windows EnterpriseDB konfiguratsioon ei eemalda lubatavaid ACL-kirjeid

Kuna Windows EnterpriseDB ja BigSQL installijad ei lukustanud PostgreSQL-i binaarset installikataloogi ega andmekataloogi õigusi, võivad privileegimata Windowsi kasutajakonto ja privileegita PostgreSQL-konto põhjustada PostgreSQL-i teenusekonto meelevaldse koodi käivitamise.

See haavatavus on olemas kõigis PostgreSQLi toetatud versioonides nende installijate jaoks ja need võivad eksisteerida ka varasemates versioonides. Seetõttu nõuavad arendajad värskendust:

„Kasutajad, kes on installinud PostgreSQLi EnterpriseDB ja BigSQL Windows Installeri abil, peaksid värskendama nii kiiresti kui võimalik. Samamoodi peaksid kasutajad, kellel on PostgreSQL 9.5, 9.6, 10 ja 11 mis tahes versioon, plaanima võimalikult kiiresti uuendada.

CVE-2019-10129: mälu avalikustamine partitsioonide marsruutimisel

Enne seda versiooni võis PostgreSQL 11 käitav kasutaja lugeda serverimälust suvalisi baite, käivitades jaotatud tabelis spetsiaalselt loodud INSERT-lause.

CVE-2019-10130: selektiivsuse prognoosid mööduvad liini turvapoliitikatest

PostgreSQL hoiab tabelite statistikat, valides veergudes saadaolevad andmed.

Nendele andmetele pääseb juurde konsultatsiooni planeerimise käigus. Enne seda versiooni võiks kasutaja, kes on võimeline antud veerus lugemisõigustega SQL-päringuid käivitama, luua lekkiva operaatori, kes saaks lugeda kõiki selles veerus kuvatud andmeid.

Veaparandused ja täiustused

See värskendus see parandab ka enam kui 60 viimase paari kuu jooksul teatatud viga. Mõni neist probleemidest kehtib ainult 11. versiooni kohta, kuid paljud on seotud kõigi varasemate toetatud versioonidega.

Mõned neist parandustest hõlmavad järgmist.

  • Erinevad kataloogi korruptsiooniparandused, sealhulgas seotud ALTER TABLE'i käitamisega jaotatud tabelis
  • Erinevad partitsiooni parandused.
  • Parandatud võimalikud tõrked txid_status () ei pääse tehingu olekule juurde
  • Parandatud CREATE VIEW, et lubada eraldamata vaateid
  • Parandatud punktides 11.2, 10.7, 9.6.12, 9.5.16 ja 9.4.21 toodud GIN-indeksi WAL-kirjete kokkusobimatus mõjutab neid versioone töötavaid koopiaservereid serverite GIN-indeksite muudatuste lugemisel. vanad versioonid
  • Erinevad parandused, mis on seotud mälulekkide ja dünaamilise ühismäluhaldusega.
  • Päringu planeerija mitmesugused parandused, millest paljud peaksid viima parema kavandamiseni.
  • Lahendatud oli kriitiline probleem võistlusel, kus omatarbimise juht ei saanud pärast nutika peatumise taotluse saamist peatuda

Uuenduste osas

Projekt tuletab seda meelde kõik PostgreSQL-i värskendatud versioonid on kumulatiivsed. Sarnaselt teiste väiksemate versioonidega ei pea kasutajad selle värskenduse rakendamiseks oma andmebaasi tühjendama ja uuesti laadima ega kasutama pg_upgrade, lihtsalt peatage PostgreSQL ja värskendage binaarfaile.

Ühe või mitme värskenduse versiooni vahele jätnud kasutajad võivad pärast värskendamist vajada täiendavaid samme. Kui kuulute sellesse kategooriasse, peaksite tutvuma eelmiste versioonide väljalaskemärkmetega lähemalt.

Lõpuks tuletab arendusmeeskond meile meelde, et PostgreSQL 9.4 ei saa enam plaastreid alates 13. veebruarist 2020.


Ole esimene kommentaar

Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutab: Miguel Ángel Gatón
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.