کے ترقیاتی گروپ پوسٹگریس ایس کیو ایل نے حال ہی میں ایک تازہ کاری جاری کرنے کا اعلان کیا ہے آپ کے ڈیٹا بیس سسٹم کے سبھی معاون ورژن ، بشمول 11.3 ، 10.8 ، 9.6.13 ، 9.5.17 ، اور 9.4.22۔
یہ درست ورژن PostgreSQL سرور میں بنیادی طور پر دو سیکیورٹی کے مسائل حل کرنے کو ملتا ہے، پوسٹگری ایس کیو ایل کے ونڈوز انسٹالرز میں سے دو میں ایک سیکیورٹی مسئلہ پایا گیا ہے ، اور پچھلے تین ماہ میں 60 سے زیادہ کیڑے رپورٹ ہوئے ہیں۔
سیکیورٹی کے مسائل حل ہوگئے
اس ورژن کے ذریعہ سیکیورٹی کے چار خطرات کو درست کیا گیا ہے ، جن میں سے دو کو حل کرنا بہت ضروری تھا ، جو مندرجہ ذیل ہیں۔
CVE-2019-10127: بگ ایس کیو ایل ونڈوز انسٹالر اجازت نامہ رسائی کنٹرول لسٹ اندراجات کو دور نہیں کرتا ہے
CVE-2019-10128: ونڈوز انٹرپرائز ڈی بی کی ترتیب اجازت نامہ ACL اندراجات کو نہیں ہٹا دیتی ہے
چونکہ ونڈوز انٹرپرائز ڈی بی اور بگ ایس کیو ایل انسٹالرز نے پوسٹگری ایس کیو ایل بائنری انسٹالیشن ڈائرکٹری اور ڈیٹا ڈائریکٹری کی اجازتوں کو لاک نہیں کیا ہے ، لہذا ایک غیر نجی ونڈوز صارف اکاؤنٹ اور غیر منقول پوسٹگری ایس کیو ایل اکاؤنٹ پوسٹگری ایس کیو ایل سروس اکاؤنٹ کے ذریعہ صوابدیدی کوڈ کو پھانسی دینے کا سبب بن سکتا ہے۔
یہ خطرہ PostgreSQL کے سبھی معاون ورژن میں موجود ہے ان انسٹالرز کے ل and اور پہلے والے ورژن میں بھی موجود ہوسکتے ہیں۔ اسی لئے ڈویلپرز اپ ڈیٹ کا مطالبہ کرتے ہیں۔
"وہ صارفین جنہوں نے انٹرپرائز ڈی بی اور بگ ایس کیو ایل ونڈوز انسٹالر کا استعمال کرتے ہوئے پوسٹ گریس ایس کیو ایل انسٹال کیا ہے انہیں جلد از جلد اپ ڈیٹ کرنا چاہئے۔ اسی طرح ، PostgreSQL 9.5 ، 9.6 ، 10 ، اور 11 کے کسی بھی ورژن کو چلانے والے صارفین کو بھی جلد از جلد اپ گریڈ کرنے کا منصوبہ بنانا چاہئے۔
CVE-2019-10129: پارٹیشن روٹنگ میں میموری انکشاف
اس اجراء سے قبل ، پوسٹگریس ایس کیو ایل 11 کو چلانے والا صارف تقسیم شدہ میز پر خصوصی طور پر تیار کردہ انسرٹ بیان پر عمل کرکے سرور میموری سے صوابدیدی بائٹس پڑھ سکتا ہے۔
CVE-2019-10130: انتخابی تخمینہ لگانے والوں کو سیکیورٹی کی پالیسیوں کو نظرانداز کرنا
پوسٹگری ایس کیو ایل کالموں میں دستیاب اعداد و شمار کے نمونے لے کر میزوں کے اعداد و شمار کو برقرار رکھتا ہے۔
مشاورت کی منصوبہ بندی کے عمل کے دوران اس اعداد و شمار تک رسائی حاصل کی جاتی ہے۔ اس اجراء سے قبل ، ایک صارف جو کسی دیئے گئے کالم پر پڑھنے کی اجازت کے ساتھ ایس کیو ایل کے استفسارات پر عمل درآمد کرنے کا اہل ہے وہ ایک رساو آپریٹر تشکیل دے سکتا ہے جو اس کالم میں دکھائے جانے والے تمام ڈیٹا کو پڑھ سکتا ہے۔
بگ کی اصلاحات اور بہتری
یہ تازہ کاری اس میں پچھلے چند مہینوں میں 60 سے زیادہ کیڑے بھی بتائے گئے ہیں۔ ان میں سے کچھ امور صرف 11 ورژن پر لاگو ہوتے ہیں ، لیکن بہت سے پہلے کے سبھی تائید شدہ ورژن سے متعلق ہیں۔
ان اصلاحات میں سے کچھ شامل ہیں:
- الگ الگ ٹیبل پر الگ الگ ٹیبل چلانے سے متعلق کیٹلاگ میں بدعنوانی کے مختلف اصلاحات
- تقسیم کے لئے مختلف اصلاحات۔
- txid_status () میں "ممکنہ ناکامیوں سے" لین دین کی حیثیت تک رسائی نہیں ہوسکتی ہے "۔
- غیر الگ الگ نظارے کی اجازت دینے کے لئے فکسڈ کریئٹ ویو
- GIN انڈیکس WAL ریکارڈوں کی فکسڈ عدم مطابقت 11.2 ، 10.7 ، 9.6.12 ، 9.5.16 ، اور 9.4.21 میں متعارف کروائی گئی۔ پرانے ورژن
- میموری لیکس اور متحرک مشترکہ میموری مینجمنٹ سے متعلق مختلف فکسز۔
- استفسار کے منصوبہ ساز کو مختلف اصلاحات ، جن میں سے بہت سے بہتر منصوبہ بندی کا باعث بنتی ہیں۔
- ریس میں ایک اہم مسئلہ طے کیا جہاں اسمارٹ اسٹاپ کی درخواست موصول ہونے کے بعد خود استعمال کرنے والا مینیجر نہیں روک سکتا ہے
تازہ کاریوں کے بارے میں
پروجیکٹ کی یاد آتی ہے پوسٹگری ایس کیو ایل کے تمام اپ ڈیٹ ورژن مجموعی ہیں. دوسرے معمولی ورژن کی طرح ، صارفین کو اس اپ ڈیٹ کو لاگو کرنے کے لئے اپنا ڈیٹا بیس ڈمپ اور دوبارہ لوڈ یا pg_upgrade استعمال کرنے کی ضرورت نہیں ہے ، صرف پوسٹ گری ایس کیو ایل کو روکنا اور بائنریز کو اپ ڈیٹ کرنا ہے۔
جن صارفین نے ایک یا ایک سے زیادہ تازہ کاری ورژن چھوڑ دیئے ان کو اپ ڈیٹ کے بعد اضافی اقدامات کرنے کی ضرورت پڑسکتی ہے۔ اگر آپ اس زمرے میں ہیں تو ، آپ کو پچھلے ورژن کے اجراء کے نوٹ کا حوالہ دینا چاہئے مزید تفصیلات کے لیے.
آخر میں ترقیاتی ٹیم ہمیں یاد دلاتی ہے کہ پوسٹگریس ایس کیو ایل 9.4 کو 13 فروری 2020 تک پیچ نہیں ملے گا۔
تبصرہ کرنے والا پہلا ہونا