Toggle navigation
PostgreSQL中文社区
首页
(current)
社区新闻
中文文档
加入ACE
相关资料
了解PostgreSQL
PostgreSQL相关文档
PostgreSQL软件下载
PostgreSQL中文图书
社区年会PPT资料
关于中文社区
注册
登录
所有版本列表
首页
新版本发布声明
PostgreSQL 10.3版本发布说明
翻译:
doudou586
... 新闻稿采编:
2018-03-11 09:35:44+08
软件发布:2018-03-01
2018-03-01,PostgreSQL全球开发小组发布了所有支持的数据库系统的版本更新,包括10.3,9.6.8,9.5.12,9.4.17和9.3.22版本。 此次的版本发布是解决CVE-2018-1058号的安全问题,这个问题是一个用户在不同的Shema空间下可以创建名称相似的对象,这样可能会影响其他用户的查询,从而造成预期外或是有恶意的结果,这也是类似“特洛伊木马”的攻击。这次的更新重点是增加新的文档,解释这个问题,以及采用什么方法减轻对服务器的影响。 我们强烈建议所有的用户阅读 [《A Guide to CVE-2018-1058: Protect Your Search Path》(CVE-2018-1058问题指引: 保护你的搜索路径)](https://wiki.postgresql.org/wiki/A_Guide_to_CVE-2018-1058:_Protect_Your_Search_Path) 这本书来了解CVE-2018-1058的详细情况,以及如何保护你的PostgreSQL的服务器。 在浏览过有关CVE-2018-1058问题的文档后,数据库的管理员也许应采取以下步骤来保护PostgreSQL服务器,以保护其受到(不应有)的利用。 ### 安全问题 修正一个安全漏洞: CVE-2018-1058: 在使用pg_dump和其他客户端程序时,搜索路径未受控制。请浏览 [《A Guide to CVE-2018-1058: Protect Your Search Path》(CVE-2018-1058问题指引: 保护你的搜索路径)](https://wiki.postgresql.org/wiki/A_Guide_to_CVE-2018-1058:_Protect_Your_Search_Path) 这本书来了解CVE-2018-1058的详细情况 ### 其他Bug修正和提升 本次更新也修正了几个自上次累积更新后所上报的问题。一些问题只影响10.0版本,但也有影响其他所支持版本的问题,具体内容包括: - 防止逻辑复制功能复制了还未发布的对象,如物化视图和元数据表等。 - 修正一个公共表达式(WITH 选项) 在一个有并发更新检查的子查询规划时来返回正确的结果。 - 修正一个在一定场景下当存在交叉合并的OUTER JOIN时,有预期之外的查询规划错误。 - 修正在运行pg_upgrade后,一个潜在的物化视图数据一致性问题。如果一个物化视图收到了类似:“不能获取事务的状态”或是 “从relfrozenxid的发现xmin”的提示时,请使用“REFRESH MATERIALIZED VIEW”并且不要有“CONCURRENTLY”选项来修正这个问题。 - 几个pg_dump相关的问题,包括修正有关cross-t able的数据统计的工作。 - 修正有关PL/Python 内部函数的堆栈跟踪的提示。 - 允许contrib/auto\_explain 最多扩展至INT_MAX数值,大约是24天。 - 将配置变量标记为PGDLLIMPORT,以便于在Windows平台发布扩展模块。 ### 致谢 PostgreSQL全球开发小组感谢Arseniy Sharoglazov向安全小组报告了这个问题。 ### 相关链接 - [CVE-2018-1058问题指引: 保护你的搜索路径](https://wiki.postgresql.org/wiki/A_Guide_to_CVE-2018-1058:_Protect_Your_Search_Path) - [下载](https://www.postgresql.org/download) - [产品发布详细新闻](https://www.postgresql.org/docs/current/static/release.html) - [安全说明页面](https://www.postgresql.org/support/security/) - [版本策略](https://www.postgresql.org/support/versioning/)
© 2010 PostgreSQL中文社区