اگر از PostgreSQL استفاده می کنید، باید به نسخه جدیدی که آسیب پذیری را از بین می برد، به روز رسانی کنید

postgreSQL

به تازگی PostgreSQL رونمایی شد خبری که چندین به روز رسانی اصلاحی منتشر کرده است برای همه شاخه های PostgreSQL که در حال حاضر پشتیبانی می شوند، که نسخه های 14.3، 13.7، 12.11، 11.16 و 10.22 هستند.

نسخه های جدید ارائه بیش از 50 اصلاح که برخی از این مسائل ممکن است بر سایر نسخه های پشتیبانی شده PostgreSQL نیز تأثیر بگذارد.

  • مشکلی که می تواند منجر به خراب شدن شاخص های GiST در ستون های درختی شود. پس از ارتقا، باید شاخص های GiST را در ستون های ltree دوباره فهرست کنید.
  • رفع گرد کردن نادرست هنگام استخراج مقادیر دوره از نوع فاصله.
  • خروجی نادرست انواع timestamptz و timetzen table_to_xmlschema() را برطرف کنید.
  • رفع اشکالات مربوط به یک مشکل زمانبندی که بر جستارهای ناهمزمان راه دور تأثیر می گذاشت.
  • برای پشتیبانی از تغییر ویژگی موازی یک تابع و لیست SET متغیرهای آن در همان فرمان، آن را به ALTER FUNCTION ثابت کنید.
  • مرتب‌سازی نادرست ردیف‌های جدول را هنگامی که CLUSTER روی شاخصی استفاده می‌شود که کلید اولیه آن یک عبارت است، برطرف کنید.
  • خطر خرابی بن بست را هنگام حذف یک شاخص پارتیشن بندی شده برطرف می کند.
  • وضعیت مسابقه بین DROP TABLESPACE و نقاط بازرسی را که ممکن است نتوانند همه فایل‌های مرده را از فهرست جدولی حذف کنند، برطرف کنید.
  • یک مشکل احتمالی مربوط به failover را پس از یک دستور TRUNCATE که با یک نقطه بازرسی همپوشانی دارد، برطرف می کند.
  • PANIC باگ رفع شد: درخواست فلاش xlog در حین ارتقاء آماده به کار هنگامی که یک گزارش ادامه WAL وجود ندارد، برآورده نمی شود.
  • رفع امکان قفل خودکار در مدیریت تعارض در حالت آماده به کار داغ.

علاوه بر آن، این نسخه های اصلاحی جدید آسیب پذیری CVE-2022-1552 را نیز برطرف می کند مربوط به توانایی دور زدن جداسازی اجرای عملیات های ممتاز Autovacuum، REINDEX، CREATE INDEX، REFRESH MATERIALIZED VIEW، CLUSTER، و pg_amcheck.

ذکر شده است که با توجه به آسیب پذیری حل شده در این نسخه های اصلاحی، مشکل مذکور شناسایی شده است به یک مهاجم اجازه داد چه چیزی دارد اختیار ایجاد اشیاء غیر موقت در هر طرحواره سرور ذخیره سازی می تواند توابع SQL دلخواه را با امتیازات superuser اجرا کند در حالی که کاربر ممتاز عملیات فوق را انجام می دهد که بر شی مهاجم تأثیر می گذارد.

حتی سوءاستفاده از آسیب‌پذیری ممکن است زمانی رخ دهد که پایگاه داده به طور خودکار هنگام اجرای درایور autovacuum پاک شود.

اگر نمی توانید به روز رسانی انجام دهید، به عنوان یک راه حل برای جلوگیری از مشکل، می توان جاروبرقی خودکار را غیرفعال کنید و عملیات REINDEX، CREATE INDEX، REFRESH MATERIALIZED VIEW، و CLUSTER را به عنوان کاربر اصلی انجام نمی دهد و ابزار pg_amcheck را اجرا نمی کند و محتویات یک نسخه پشتیبان ایجاد شده توسط ابزار pg_dump را بازیابی نمی کند.

اجرای VACUUM ایمن در نظر گرفته می شود، همانطور که استفاده از هر عملیات دستوری، در صورتی که اشیاء در حال پردازش متعلق به کاربران قابل اعتماد باشد.

تغییرات دیگر در نسخه های جدید شامل به روز رسانی کد JIT برای کار با LLVM 14، امکان استفاده از الگوهای پایگاه داده طرحواره مقادیر در قالب دوره ای بازیابی شده از داده های نوع فاصله، رفتار برنامه نویس نادرست هنگام استفاده از پرس و جوهای راه دور ناهمزمان، مرتب سازی نادرست ردیف های جدول هنگام استفاده از عبارت CLUSTER در نمایه های مبتنی بر عبارت، از دست دادن داده ها در بلافاصله پس از ایجاد یک نمایه GiST مرتب شده، بن بست در حذف ایندکس پارتیشن بندی شده، یک شرایط مسابقه بین عملیات DROP TABLESPACE و commit وضعیت (نقطه بازرسی) خراب می شود.

علاوه بر این، انتشار برنامه افزودنی pg_ivm 1.0 با اجرای پشتیبانی IVM (نگهداری افزایشی) برای PostgreSQL 14 می تواند برجسته شود. IVM یک راه جایگزین برای به روز رسانی نماهای واقعی ارائه می دهد که اگر تغییرات بر بخش کوچکی از نما تأثیر بگذارد کارآمدتر است. .

IVM اجازه می‌دهد تا نماهای تحقق‌یافته فوراً با اعمال تغییرات افزایشی روی آن‌ها، بدون محاسبه مجدد نمای، که با استفاده از عملیات "REFRESH MATERIALIZED VIEW" انجام می‌شود، به روز شوند.

در نهایت ، اگر علاقه مند به دانستن بیشتر در مورد این نسخه جدید هستید ، می توانید جزئیات را بررسی کنید در لینک زیر.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد.

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.