2018-03-01,PostgreSQL全球开发小组发布了所有支持的数据库系统的版本更新,包括10.3,9.6.8,9.5.12,9.4.17和9.3.22版本。
此次的版本发布是解决CVE-2018-1058号的安全问题,这个问题是一个用户在不同的Shema空间下可以创建名称相似的对象,这样可能会影响其他用户的查询,从而造成预期外或是有恶意的结果,这也是类似“特洛伊木马”的攻击。这次的更新重点是增加新的文档,解释这个问题,以及采用什么方法减轻对服务器的影响。
我们强烈建议所有的用户阅读 《A Guide to CVE-2018-1058: Protect Your Search Path》(CVE-2018-1058问题指引: 保护你的搜索路径) 这本书来了解CVE-2018-1058的详细情况,以及如何保护你的PostgreSQL的服务器。
在浏览过有关CVE-2018-1058问题的文档后,数据库的管理员也许应采取以下步骤来保护PostgreSQL服务器,以保护其受到(不应有)的利用。
安全问题
修正一个安全漏洞:
CVE-2018-1058: 在使用pg_dump和其他客户端程序时,搜索路径未受控制。请浏览 《A Guide to CVE-2018-1058: Protect Your Search Path》(CVE-2018-1058问题指引: 保护你的搜索路径) 这本书来了解CVE-2018-1058的详细情况
其他Bug修正和提升
本次更新也修正了几个自上次累积更新后所上报的问题。一些问题只影响10.0版本,但也有影响其他所支持版本的问题,具体内容包括:
- 防止逻辑复制功能复制了还未发布的对象,如物化视图和元数据表等。
- 修正一个公共表达式(WITH 选项) 在一个有并发更新检查的子查询规划时来返回正确的结果。
- 修正一个在一定场景下当存在交叉合并的OUTER JOIN时,有预期之外的查询规划错误。
- 修正在运行pg_upgrade后,一个潜在的物化视图数据一致性问题。如果一个物化视图收到了类似:“不能获取事务的状态”或是 “从relfrozenxid的发现xmin”的提示时,请使用“REFRESH MATERIALIZED VIEW”并且不要有“CONCURRENTLY”选项来修正这个问题。
- 几个pg_dump相关的问题,包括修正有关cross-t able的数据统计的工作。
- 修正有关PL/Python 内部函数的堆栈跟踪的提示。
- 允许contrib/auto_explain 最多扩展至INT_MAX数值,大约是24天。
- 将配置变量标记为PGDLLIMPORT,以便于在Windows平台发布扩展模块。
致谢
PostgreSQL全球开发小组感谢Arseniy Sharoglazov向安全小组报告了这个问题。
相关链接
扫码关注
© PostgreSQL中文社区 ... (自2010年起)