PG中文社区 / PostgreSQL 10.3发布声明
2018-03-01 08:36:35+08 发布 ... 翻译:doudou586

2018-03-01,​​PostgreSQL全球开发小组发布了所有支持的数据库系统的版本更新,包括10.3,9.6.8,9.5.12,9.4.17和9.3.22版本。

此次的版本发布是解决CVE-2018-1058号的安全问题,这个问题是一个用户在不同的Shema空间下可以创建名称相似的对象,这样可能会影响其他用户的查询,从而造成预期外或是有恶意的结果,这也是类似“特洛伊木马”的攻击。这次的更新重点是增加新的文档,解释这个问题,以及采用什么方法减轻对服务器的影响。

我们强烈建议所有的用户阅读 《A Guide to CVE-2018-1058: Protect Your Search Path》(CVE-2018-1058问题指引: 保护你的搜索路径) 这本书来了解CVE-2018-1058的详细情况,以及如何保护你的PostgreSQL的服务器。

在浏览过有关CVE-2018-1058问题的文档后,数据库的管理员也许应采取以下步骤来保护PostgreSQL服务器,以保护其受到(不应有)的利用。

安全问题

修正一个安全漏洞:

CVE-2018-1058: 在使用pg_dump和其他客户端程序时,搜索路径未受控制。请浏览 《A Guide to CVE-2018-1058: Protect Your Search Path》(CVE-2018-1058问题指引: 保护你的搜索路径) 这本书来了解CVE-2018-1058的详细情况

其他Bug修正和提升

本次更新也修正了几个自上次累积更新后所上报的问题。一些问题只影响10.0版本,但也有影响其他所支持版本的问题,具体内容包括:

  • 防止逻辑复制功能复制了还未发布的对象,如物化视图和元数据表等。
  • 修正一个公共表达式(WITH 选项) 在一个有并发更新检查的子查询规划时来返回正确的结果。
  • 修正一个在一定场景下当存在交叉合并的OUTER JOIN时,有预期之外的查询规划错误。
  • 修正在运行pg_upgrade后,一个潜在的物化视图数据一致性问题。如果一个物化视图收到了类似:“不能获取事务的状态”或是 “从relfrozenxid的发现xmin”的提示时,请使用“REFRESH MATERIALIZED VIEW”并且不要有“CONCURRENTLY”选项来修正这个问题。
  • 几个pg_dump相关的问题,包括修正有关cross-t able的数据统计的工作。
  • 修正有关PL/Python 内部函数的堆栈跟踪的提示。
  • 允许contrib/auto_explain 最多扩展至INT_MAX数值,大约是24天。
  • 将配置变量标记为PGDLLIMPORT,以便于在Windows平台发布扩展模块。

致谢

PostgreSQL全球开发小组感谢Arseniy Sharoglazov向安全小组报告了这个问题。

相关链接

               
加入我们
QQ群1:5276420
QQ群2:3336901
QQ群3:254622631
文档群:150657323
文档翻译平台:按此访问
社区邮件列表:按此订阅
扫码关注
© PostgreSQL中文社区 ... (自2010年起)