2018-03-01,PostgreSQL全球开发小组发布了所有支持的数据库系统的版本更新,包括10.3,9.6.8,9.5.12,9.4.17和9.3.22版本。
此次的版本发布是解决CVE-2018-1058号的安全问题,这个问题是一个用户在不同的Shema空间下可以创建名称相似的对象,这样可能会影响其他用户的查询,从而造成预期外或是有恶意的结果,这也是类似“特洛伊木马”的攻击。这次的更新重点是增加新的文档,解释这个问题,以及采用什么方法减轻对服务器的影响。
我们强烈建议所有的用户阅读 《A Guide to CVE-2018-1058: Protect Your Search Path》(CVE-2018-1058问题指引: 保护你的搜索路径) 这本书来了解CVE-2018-1058的详细情况,以及如何保护你的PostgreSQL的服务器。
在浏览过有关CVE-2018-1058问题的文档后,数据库的管理员也许应采取以下步骤来保护PostgreSQL服务器,以保护其受到(不应有)的利用。
修正一个安全漏洞:
CVE-2018-1058: 在使用pg_dump和其他客户端程序时,搜索路径未受控制。请浏览 《A Guide to CVE-2018-1058: Protect Your Search Path》(CVE-2018-1058问题指引: 保护你的搜索路径) 这本书来了解CVE-2018-1058的详细情况
本次更新也修正了几个自上次累积更新后所上报的问题。一些问题只影响10.0版本,但也有影响其他所支持版本的问题,具体内容包括:
PostgreSQL全球开发小组感谢Arseniy Sharoglazov向安全小组报告了这个问题。