Jika Anda menggunakan PostgreSQL, Anda harus memperbarui ke versi baru yang menghilangkan kerentanan

postgreSQL

Baru-baru ini PostgreSQL diluncurkan berita itu telah merilis beberapa pembaruan korektif untuk semua cabang PostgreSQL yang saat ini didukung, yaitu versi 14.3, 13.7, 12.11, 11.16, dan 10.22.

Versi baru menawarkan lebih dari 50 koreksi di antaranya beberapa masalah ini juga dapat memengaruhi versi PostgreSQL lain yang didukung.

  • Masalah yang dapat menyebabkan korupsi indeks GiST pada ltreecolumns. Setelah pemutakhiran, Anda perlu mengindeks ulang indeks GiST pada kolom ltree.
  • Perbaiki pembulatan yang salah saat mengekstrak nilai epoch dari tipe interval.
  • Perbaiki output yang salah untuk tipe timestamptz dan timetzen table_to_xmlschema().
  • Memperbaiki bug yang terkait dengan masalah penjadwal yang memengaruhi kueri jarak jauh asinkron.
  • Perbaiki ke ALTER FUNCTION untuk mendukung perubahan properti paralelisme dari suatu fungsi dan daftar variabel SET-nya dalam perintah yang sama.
  • Perbaiki untuk pengurutan baris tabel yang salah saat CLUSTER digunakan pada indeks yang kunci awalnya adalah ekspresi.
  • Mengatasi risiko kegagalan kebuntuan saat menjatuhkan indeks yang dipartisi.
  • Perbaiki kondisi balapan antara DROP TABLESPACE dan pos pemeriksaan yang dapat gagal menghapus semua file mati dari direktori tablespace.
  • Memperbaiki potensi masalah dengan failover setelah perintah TRUNCATE yang tumpang tindih dengan pos pemeriksaan.
  • Memperbaiki bug PANIC: permintaan flush xlog tidak terpenuhi selama promosi siaga ketika log kelanjutan WAL tidak ada.
  • Perbaiki untuk kemungkinan kunci otomatis dalam penanganan konflik siaga panas.

Selain itu, versi korektif baru ini juga memecahkan kerentanan CVE-2022-1552 terkait dengan kemampuan untuk melewati isolasi eksekusi operasi istimewa Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, dan pg_amcheck.

Disebutkan bahwa mengenai kerentanan yang dipecahkan dalam versi korektif ini, masalah tersebut terdeteksi mengizinkan penyerang apa yang telah otoritas untuk membuat objek non-sementara dalam skema apa pun Server penyimpanan dapat menjalankan fungsi SQL arbitrer dengan hak pengguna super sementara pengguna dengan hak istimewa melakukan operasi di atas yang memengaruhi objek penyerang.

Bahkan eksploitasi kerentanan dapat terjadi ketika database dibersihkan secara otomatis saat driver autovacuum dijalankan.

Jika Anda tidak dapat melakukan pembaruan, sebagai solusi untuk memblokir masalah, bisa nonaktifkan vakum otomatis dan tidak melakukan operasi REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, dan CLUSTER sebagai pengguna root dan tidak menjalankan utilitas pg_amcheck dan tidak memulihkan konten cadangan yang dibuat oleh utilitas pg_dump.

Eksekusi VACUUM dianggap aman, seperti halnya penggunaan operasi perintah apa pun, jika objek yang diproses adalah milik pengguna tepercaya.

Perubahan lainnya dalam versi baru sertakan pembaruan kode JIT untuk bekerja dengan LLVM 14, memungkinkan penggunaan templat basis data skema nilai dalam format zaman yang diambil dari data tipe interval, perilaku pemrogram yang salah saat menggunakan kueri jarak jauh asinkron, penyortiran baris tabel yang salah saat menggunakan ekspresi CLUSTER pada indeks berbasis ekspresi, kehilangan data pada crash segera setelah membangun indeks GiST yang diurutkan, kebuntuan pada penghapusan indeks yang dipartisi, kondisi balapan antara operasi DROP TABLESPACE dan status commit (checkpoint) .

Selain itu, rilis ekstensi pg_ivm 1.0 dengan implementasi dukungan IVM (Incremental View Maintenance) untuk PostgreSQL 14 dapat disorot. IVM menawarkan cara alternatif untuk memperbarui tampilan yang terwujud, lebih efisien jika perubahan memengaruhi sebagian kecil tampilan .

IVM memungkinkan tampilan yang terwujud untuk diperbarui secara instan dengan hanya perubahan tambahan yang diterapkan padanya, tanpa menghitung ulang tampilan, yang dilakukan menggunakan operasi "REFRESH MATERIALIZED VIEW".

Akhirnya, jika Anda tertarik untuk mengetahui lebih banyak tentang versi baru ini, Anda dapat memeriksa detailnya Di tautan berikut.


Isi artikel mengikuti prinsip kami etika editorial. Untuk melaporkan kesalahan, klik di sini.

Jadilah yang pertama mengomentari

tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan.

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.