2025년 9월 25일:토토 커뮤니티 : 토토 커뮤니티

2017-05-11 보안 업데이트 배트맨 토토

게시일2017-05-11작성: PostgreSQL 글로벌 개발 그룹

PostgreSQL 글로벌 개발 그룹은 9.6.3, 9.5.7, 9.4.12, 9.3.17 및 9.2.21을 포함하여 지원되는 모든 데이터베이스 시스템 버전에 대한 업데이트를 출시했습니다. 이 릴리스에서는 세 가지 보안 문제가 해결되었습니다. 또한 지난 3개월 동안 보고된 여러 가지 다른 버그도 패치합니다. 연결을 제어하기 위해 PGREQUIRESSL 환경 변수를 사용하는 사용자와 외부 서버를 사용할 때 데이터베이스 사용자 간의 보안 격리에 의존하는 사용자는 가능한 한 빨리 업데이트해야 합니다. 다른 사용자는 다음에 편리한 다운타임에 업데이트할 계획을 세워야 합니다.

보안 문제

이번 배트맨 토토에서는 세 가지 보안 취약점이 해결되었습니다:

  • CVE-2017-7484: 선택성 추정기는 SELECT 권한 확인을 우회합니다.
  • CVE-2017-7485: libpq는 PGREQUIRESSL 환경 변수를 무시합니다.
  • CVE-2017-7486: pg_user_mappings 보기는 외부 서버 비밀번호를 공개합니다

CVE-2017-7486에 대한 수정 사항은 새 데이터베이스에 적용됩니다. 기존 데이터베이스에 수정 사항을 적용하는 절차는 릴리스 노트를 참조하세요.

PGREQUIRESSL 환경 변수를 사용하는 모든 사용자는 sslmode 연결 문자열 옵션을 사용하는 것이 좋습니다. PGREQUIRESSL 사용은 더 이상 사용되지 않습니다. CVE-2017-7485는 9.2 시리즈에 영향을 미치지 않습니다. 이러한 문제에 대한 자세한 내용은 이전 버전과의 호환성에 어떤 영향을 미치는지는 릴리스 노트를 참조하세요.

버그 수정 및 개선

이 업데이트는 지난 몇 달 동안 보고된 여러 버그도 수정합니다. 이러한 문제 중 일부는 9.6 시리즈에만 영향을 미치지만 대부분은 9.6 시리즈에만 영향을 미칩니다. 지원되는 모든 버전에 영향을 미칩니다. 이번 릴리스에는 다음을 포함하여 90개 이상의 수정 사항이 있습니다.

  • RLS 정책의 일관된 동작을 보장하기 위한 수정
  • 제약조건이 NO INHERIT로 표시된 경우 하위 테이블로 재귀되지 않도록 ALTER TABLE ... VALIDATE CONSTRAINT 수정
  • 잘못된 결과를 초래할 수 있는 SP-GiST의 특정 상자 연산자에 대한 잘못된 지원 수정
  • 쿼리 취소 처리 수정
  • ALTER TABLE ... ALTER COLUMN TYPE이 기존 인덱스를 재구축할 때 테이블스페이스 권한 검사 건너뛰기
  • 논리적 디코딩 중 유효하지 않을 수 있는 초기 스냅샷 수정
  • 기록되지 않은 인덱스의 초기화 포크 손상 가능성 수정
  • Windows 서비스로 실행할 때의 점검을 포함하여 postmaster에 대한 몇 가지 수정 사항
  • 여러 플래너 수정 사항, 특히 병렬 쿼리 계획 관련 사소한 수정 사항
  • walsender의 충돌 가능성과 GiST 인덱스의 일부 인덱스 전용 스캔 방지
  • 비독점 백업을 중지하려고 할 때 pg_stop_backup() 취소 문제 수정
  • COMMIT PREPARED 및 ROLLBACK PREPARED를 지원하기 위한 ecpg 업데이트
  • pg_dump/pg_restore에 대한 몇 가지 수정 사항(절차적 언어에 대한 권한을 처리하고 --clean 옵션을 사용할 때 포함)
  • dblink, pg_trgm 및 postgres_fdw와 같은 contrib 모듈에 대한 여러 수정 사항
  • POSIX 스타일 시간대 이름에 대한 올바른 일광 절약 시간제 규칙 사용 및 Tcl 8.6 지원 등 MSVC 빌드 수정
  • 다양한 성능 개선
  • tableforest = false로 유효한 출력을 생성하도록 커서_to_xml()을 수정합니다.
  • float8_timestamptz() 및 make_interval()의 반올림 문제 수정
  • --connect 및 --rate 옵션의 조합을 올바르게 처리하도록 pgbench를 수정
  • pg_upgrade 및 pg_basebackup과 같은 명령줄 도구 수정
  • VACUUM 및 CLUSTER에 대한 몇 가지 수정 사항

논리적 디코딩을 기반으로 한 복제 도구 사용자와 기록되지 않은 인덱스 사용자는 배트맨 토토 노트를 참조해야 합니다. 업그레이드 중 잠재적인 추가 단계를 확인하세요.

이 업데이트에는 칠레, 아이티, 몽골의 DST 법률 변경 사항에 대한 업데이트와 에콰도르, 카자흐스탄, 라이베리아 및 스페인에 대한 기록 수정 사항이 포함된 tzdata 배트맨 토토 2017b도 포함되어 있습니다. 남미, 태평양, 인도양, 일부 아시아 및 중동 국가의 다양한 시간대에 대해 숫자 약어로 전환합니다. 시간대 라이브러리는 IANA 배트맨 토토 tzcode2017b와 동기화됩니다.

버전 9.2에 대한 EOL 경고

PostgreSQL 버전 9.2는 2017년 9월에 단종될 예정입니다. 프로젝트에서는 해당 버전에 대해 하나 또는 두 개 이상의 업데이트만 출시할 것으로 예상합니다. 가능한 한 빨리 PostgreSQL 최신 버전으로의 업그레이드 계획을 세우시기 바랍니다. 자세한 내용은 버전 관리 정책을 참조하세요.

업데이트 중

모든 PostgreSQL 업데이트 배트맨 토토는 누적됩니다. 다른 마이너 배트맨 토토와 마찬가지로 사용자는 이 업데이트 배트맨 토토를 적용하기 위해 데이터베이스를 덤프하고 다시 로드하거나 pg_upgrade를 사용할 필요가 없습니다. 간단히 PostgreSQL을 종료하고 바이너리를 업데이트하면 됩니다.

업데이트 후 논리적 디코딩 기반 복제 도구 사용자와 기록되지 않은 인덱스 사용자는 배트맨 토토 노트를 참조해야 합니다. 업그레이드 중 잠재적인 추가 단계를 확인하세요. 자세한 내용은 배트맨 토토 노트를 참조하세요.

하나 이상의 업데이트 배트맨 토토를 건너뛴 사용자는 추가 업데이트 후 단계를 실행해야 할 수도 있습니다. 자세한 내용은 이전 버전의 배트맨 토토 노트를 참조하세요.

링크: