젠 토토 10.3, 9.6.8, 9.5.12, 9.4.17, 9.3.22 출시!

2018-03-01 보안 업데이트 릴리스

PostgreSQL 글로벌 개발 그룹은 10.3, 9.6.8, 9.5.12, 9.4.17 및 9.3.22를 포함하여 지원되는 모든 버전의 PostgreSQL 데이터베이스 시스템에 대한 업데이트를 출시했습니다.

이 릴리스의 목적은 CVE-2018-1058을 해결하는 것입니다. 이 문제는 사용자가 다른 스키마에서 이름이 같은 개체를 생성하여 다른 사용자의 쿼리 동작을 변경하고 "트로이 목마" 공격이라고도 알려진 예상치 못한 또는 악의적인 동작을 유발할 수 있는 방법을 설명합니다. 이 릴리스의 대부분은 문제를 설명하고 PostgreSQL 데이터베이스에 미치는 영향을 완화하기 위한 조치를 취하는 방법을 설명하는 추가 문서에 중점을 두고 있습니다.

우리는 모든 사용자가 방문하시기를 강력히 권장합니다.CVE-2018-1058 가이드: 검색 경로 보호CVE-2018-1058에 대한 자세한 설명과 젠 토토 설치를 보호하는 방법에 대해 알아보세요.

CVE-2018-1058에 대한 문서를 평가한 후 데이터베이스 관리자는 PostgreSQL 설치에 대한 후속 조치를 취하여 악용으로부터 보호되는지 확인해야 할 수 있습니다.

보안 문제

이 릴리스에서는 한 가지 보안 취약점이 해결되었습니다.

• CVE-2018-1058: pg_dump 및 기타 클라이언트 애플리케이션의 제어되지 않은 검색 경로 요소

방문해 주세요CVE-2018-1058 가이드: 검색 경로 보호CVE-2018-1058에 대한 전체 설명을 보려면.

버그 수정 및 개선

이 업데이트는 마지막 누적 업데이트 이후 보고된 여러 버그를 수정합니다. 이러한 문제 중 일부는 버전 10에만 영향을 미치지만 대부분은 지원되는 모든 버전에 영향을 미칩니다. 이러한 수정 사항은 다음과 같습니다.

• 구체화된 뷰 및 "information_schema" 테이블과 같은 게시할 수 없는 관계에 대한 변경 사항을 복제하려는 논리적 복제를 방지
• 동시 업데이트 재검사가 있는 하위 계획에서 참조될 때 올바른 결과를 반환하는 공통 테이블 표현식(WITH 절)에 대한 수정
• OUTER JOIN에 병합 조인 절이 겹치는 경우에 발생하는 예상치 못한 쿼리 플래너 오류 수정.
• pg_upgrade 실행 후 구체화된 뷰로 인한 잠재적인 데이터 손상 문제를 수정했습니다. 구체화된 뷰에서 "트랜잭션 상태에 액세스할 수 없습니다" 또는 "relfrozenxid 이전의 xmin을 찾았습니다"와 같은 오류가 수신되는 경우 "동시" 없이 "REFRESH MATERIALIZED VIEW"를 사용하여 수정하세요.
• 향후 교차 테이블 통계 작업에 도움이 되는 수정 사항을 포함하여 pg_dump에 대한 몇 가지 수정 사항
• 내부 PL/Python 함수와 관련된 PL/Python 스택 추적 보고 수정
• contrib/auto_explain의 범위를 최대 INT_MAX까지 허용합니다. 이는 약 24일입니다.
• 여러 구성 변수를 PGDLLIMPORT로 표시하여 확장 모듈을 Windows로 쉽게 포팅할 수 있습니다.

감사의 말씀

젠 토토 글로벌 개발 그룹은 CVE-2018-1058을 보안 팀에 보고해 주신 Arseniy Sharoglazov에게 감사드립니다.

링크

• CVE-2018-1058 가이드: 검색 경로 보호
• 다운로드
• 출시 노트
• 토토 : 보안 정보
• PostgreSQL : 사설 토토 사이트 관리 정책