Rilasciate le nuove versioni di PostgreSQL 11.3 e 10.8 con più di 60 bug corretti

Darkcrizt

minuti 4

postgresql

Il gruppo di sviluppo di PostgreSQL ha recentemente annunciato il rilascio di un aggiornamento di tutte le versioni supportate del sistema di database, incluse 11.3, 10.8, 9.6.13, 9.5.17 e 9.4.22.

Questa versione di fix riesce a risolvere principalmente due problemi di sicurezza nel server PostgreSQL, un problema di sicurezza riscontrato in due dei programmi di installazione di Windows di PostgreSQL e più di 60 bug segnalati negli ultimi tre mesi.

Risolti problemi di sicurezza

Quattro vulnerabilità di sicurezza sono state corrette da questa versione, di cui due erano molto importanti da risolvere, che sono le seguenti:

CVE-2019-10127: BigSQL Windows Installer non rimuove le voci dell'elenco di controllo degli accessi permissivi

CVE-2019-10128: la configurazione di Windows EnterpriseDB non rimuove le voci ACL permissive

Poiché i programmi di installazione di Windows EnterpriseDB e BigSQL non hanno bloccato la directory di installazione binaria di PostgreSQL e le autorizzazioni della directory dei dati, un account utente Windows non privilegiato e un account PostgreSQL non privilegiato possono causare l'esecuzione di codice arbitrario da parte dell'account del servizio PostgreSQL.

Questa vulnerabilità è presente in tutte le versioni supportate di PostgreSQL per questi programmi di installazione e potrebbe esistere nelle versioni precedenti. Ecco perché gli sviluppatori richiedono l'aggiornamento:

“Gli utenti che hanno installato PostgreSQL utilizzando EnterpriseDB e BigSQL Windows Installer dovrebbero eseguire l'aggiornamento il prima possibile. Allo stesso modo, gli utenti che eseguono qualsiasi versione di PostgreSQL 9.5, 9.6, 10 e 11 dovrebbero anche pianificare l'aggiornamento il prima possibile.

CVE-2019-10129: Divulgazione della memoria nel routing delle partizioni

Prima di questa versione, un utente che eseguiva PostgreSQL 11 poteva leggere byte arbitrari dalla memoria del server eseguendo un'istruzione INSERT appositamente predisposta su una tabella partizionata.

CVE-2019-10130: gli stimatori di selettività ignorano le politiche di sicurezza della linea

PostgreSQL gestisce le statistiche per le tabelle campionando i dati disponibili in colonne.

A questi dati si accede durante il processo di pianificazione della consultazione. Prima di questa versione, un utente in grado di eseguire query SQL con autorizzazioni di lettura su una determinata colonna poteva creare un operatore che perdeva in grado di leggere tutti i dati visualizzati in quella colonna.

Correzioni di bug e miglioramenti

Questo aggiornamento risolve anche più di 60 bug segnalati negli ultimi mesi. Alcuni di questi problemi si applicano solo alla versione 11, ma molti si riferiscono a tutte le versioni precedenti supportate.

Alcune di queste correzioni includono:

  • Varie correzioni al danneggiamento del catalogo, incluse quelle relative all'esecuzione di ALTER TABLE su una tabella partizionata
  • Varie correzioni per la partizione.
  • Risolti possibili errori "impossibile accedere allo stato della transazione" in txid_status ()
  • Risolto il problema con CREATE VIEW per consentire visualizzazioni non separate
  • Risolta l'incompatibilità dei record WAL dell'indice GIN introdotti in 11.2, 10.7, 9.6.12, 9.5.16 e 9.4.21 che interessavano i server di replica che eseguivano queste versioni durante la lettura delle modifiche agli indici GIN dei server. vecchie versioni
  • Varie correzioni relative alle perdite di memoria e alla gestione dinamica della memoria condivisa.
  • Varie correzioni al pianificatore di query, molte delle quali dovrebbero portare a una migliore pianificazione.
  • Risolto un problema critico in gara in cui un gestore dell'autoconsumo non era in grado di fermarsi dopo aver ricevuto una richiesta di Smart Stop

Per quanto riguarda gli aggiornamenti

Il progetto lo ricorda tutte le versioni di aggiornamento di PostgreSQL sono cumulative. Come con altre versioni minori, gli utenti non devono eseguire il dump e ricaricare il proprio database o utilizzare pg_upgrade per applicare questo aggiornamento, è sufficiente interrompere PostgreSQL e aggiornare i binari.

Gli utenti che hanno ignorato una o più versioni di aggiornamento potrebbero dover eseguire ulteriori passaggi dopo l'aggiornamento. Se ti trovi in ​​questa categoria, dovresti fare riferimento alle note di rilascio per le versioni precedenti per ulteriori dettagli.

Infine il team di sviluppo ci ricorda che PostgreSQL 9.4 non riceverà più le patch a partire dal 13 febbraio 2020.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.