A fejlesztési csoport A PostgreSQL nemrégiben jelentette be egy frissítés kiadását az adatbázis-rendszer összes támogatott verziójának, beleértve a 11.3, 10.8, 9.6.13, 9.5.17 és 9.4.22 verziókat.
Ez a javított verzió főleg két biztonsági problémát old meg a PostgreSQL szerveren, a PostgreSQL két Windows-telepítőjében talált biztonsági problémát, és az elmúlt három hónapban több mint 60 hibát jelentettek.
Megoldott biztonsági kérdések
Négy biztonsági rést kijavított ez a verzió, amelyek közül kettőt nagyon fontos megoldani, amelyek a következők:
CVE-2019-10127: A BigSQL Windows Installer nem távolítja el a megengedett hozzáférés-vezérlési lista bejegyzéseket
CVE-2019-10128: A Windows EnterpriseDB konfiguráció nem távolítja el a megengedett ACL bejegyzéseket
Mivel a Windows EnterpriseDB és a BigSQL telepítők nem zárták le a PostgreSQL bináris telepítési könyvtárat és az adatkönyvtár engedélyeit, egy nem jogosult Windows felhasználói fiók és egy privilégium nélküli PostgreSQL fiók miatt tetszőleges kód kerülhet végrehajtásra a PostgreSQL szolgáltatásfiók által.
Ez a biztonsági rés a PostgreSQL összes támogatott verziójában megtalálható telepítők számára, és létezhetnek korábbi verziókban is. Ezért kérik a fejlesztők a frissítést:
„Azoknak a felhasználóknak, akik a PostgreSQL-t az EnterpriseDB és a BigSQL Windows Installer segítségével telepítették, a lehető leghamarabb frissíteniük kell. Hasonlóképpen, a PostgreSQL 9.5, 9.6, 10 és 11 bármely verzióját futtató felhasználóknak is tervezniük kell a lehető leghamarabb történő frissítést.
CVE-2019-10129: Memóriafeltárás a partíció útválasztásában
A kiadás előtt a PostgreSQL 11-et futtató felhasználó tetszőleges bájtokat olvashatott a kiszolgáló memóriájából egy speciálisan kialakított INSERT utasítás végrehajtásával egy particionált táblán.
CVE-2019-10130: A szelektivitás-becslők megkerülik a vonal biztonsági házirendjeit
A PostgreSQL az oszlopokban rendelkezésre álló adatok mintavételével őrzi a táblázatok statisztikáját.
Ezekhez az adatokhoz a konzultáció tervezésének folyamán jutunk hozzá. A kiadás előtt egy olyan felhasználó, amely képes SQL-lekérdezéseket végrehajtani olvasási engedéllyel egy adott oszlopban, létrehozhat egy szivárgó operátort, amely elolvashatja az oszlopban megjelenített összes adatot.
Hibajavítások és fejlesztések
Ez a frissítés javítja az elmúlt hónapokban bejelentett több mint 60 hibát is. Ezen problémák egy része csak a 11-es verzióra vonatkozik, de sok az összes támogatott korábbi verzióra vonatkozik.
A javítások egy része a következőket tartalmazza:
- Különböző katalógus-korrupciós javítások, ideértve az ALTER TABLE partíciózott táblán történő futtatását is
- Különböző javítások a partícióhoz.
- Javított lehetséges hibák "nem férnek hozzá a tranzakció állapotához" a txid_status () fájlban
- Javítva a CREATE VIEW a nem leválasztott nézetek engedélyezése
- A 11.2, 10.7, 9.6.12, 9.5.16 és 9.4.21 verziókban bevezetett GIN index WAL rekordok kompatibilitásának javítása befolyásolja az ezeket a verziókat futtató replikakiszolgálókat, amikor a szerverek GIN indexeinek változásait olvassák. régi verziók
- A memóriaszivárgásokhoz és a dinamikus megosztott memóriakezeléshez kapcsolódó különféle javítások.
- Különféle javítások a lekérdezés tervezőjében, amelyek közül soknak jobb tervezéshez kell vezetnie.
- Javított egy kritikus problémát a versenyen, ahol az önfogyasztás-menedzser nem tudott megállni, miután megkapta az intelligens leállítási kérelmet
A frissítésekkel kapcsolatban
A projekt erre emlékeztet a PostgreSQL összes frissítő verziója kumulatív. Csakúgy, mint más kisebb verziók esetében, a felhasználóknak sem a fájl frissítését és újratöltését, sem a pg_upgrade használatát kell használniuk a frissítés alkalmazásához, egyszerűen állítsák le a PostgreSQL-t és frissítsék a bináris fájlokat.
Azoknak a felhasználóknak, akik kihagytak egy vagy több frissítési verziót, a frissítést követően további lépéseket kell tenniük. Ha Ön ebbe a kategóriába tartozik, olvassa el a korábbi verziók kiadási megjegyzéseit további részletekért.
Végül a fejlesztői csapat emlékeztet bennünket arra, hogy a PostgreSQL 9.4 13. február 2020-tól már nem kap javításokat.