젠 토토 10.3, 9.6.8, 9.5.12, 9.4.17 및 9.3.22 릴리스!
게시2018-03-01게시물 Gresql Global Development Group
젠 토토 Project
2018-03-01 보안 업데이트 릴리스
토토 사이트은 10.3, 9.6.8, 9.5.12, 9.4.17 및 9.3.22를 포함한 모든 지원되는 버전의 PostgreSQL 데이터베이스 시스템에 대한 업데이트를 발표했습니다.
이 릴리스의 목적은 CVE-2018-1058을 다루는 것입니다. 여기에는 사용자가 다른 사용자의 쿼리의 동작을 변화시키고 "트로이 목마"공격이라고도하는 예기치 않은 또는 악의적 인 행동을 유발할 수있는 다른 스키마에서 명명 된 개체를 어떻게 만들 수 있는지 설명합니다. 이 릴리스의 대부분은 문제와 젠 토토 데이터베이스에 미치는 영향을 완화하기위한 조치를 취하는 방법을 설명하는 추가 문서를 중심으로합니다.
우리는 모든 사용자가 방문하도록 강력히 권장합니다CVE-2018-1058에 대한 안내서 : 검색 경로 보호CVE-2018-1058에 대한 자세한 설명과 젠 토토 설치를 보호하는 방법.
CVE-2018-1058의 문서를 평가 한 후, 데이터베이스 관리자는 이들이 악용으로부터 보호되도록 젠 토토 설치에 대한 후속 단계를 수행해야 할 수도 있습니다..
보안 문제
이 릴리스에서는 하나의 보안 취약점이 해결됩니다.
- CVE-2018-1058 : PG_DUMP 및 기타 클라이언트 응용 프로그램의 제어되지 않은 검색 경로 요소
방문CVE-2018-1058에 대한 안내서 : 검색 경로 보호CVE-2018-1058에 대한 자세한 설명.
버그 수정 및 개선
이 업데이트는 마지막 누적 업데이트 이후보고 된 몇 가지 버그를 수정합니다. 이러한 문제 중 일부는 버전 10에만 영향을 미치지 만 많은 사람들이 지원되는 모든 버전에 영향을 미칩니다. 이 수정 사항에는 다음이 포함됩니다.
- 논리적 복제가 구체화 된 뷰 및 "Information_Schema"테이블과 같은 출판 할 수없는 관계에 대한 변경 사항을 복제하려는 것을 방지합니다.
- 공통 테이블 표현식 (조항 포함)에 대한 수정 (조항 포함)은 동시 업데이트가있는 하위 플랜에서 참조 될 때 올바른 결과를 반환
- 외부 조인에서 겹치는 병합 조인 조항이있는 경우 예기치 않은 쿼리 플래너 오류에 대한 수정..
- pg_upgrade를 실행 한 후 구체화 된 뷰로 잠재적 인 데이터 손상에 대한 수정. 구체화 된 뷰에서 "트랜잭션 상태에 액세스 할 수 없음"또는 "RelfrozenxID 이전의 Xmin에서 찾은 Xmin"과 같은 오류를받는 경우 "동시에"고정 할 수없는 "Crefresh Rediaged View"를 사용하십시오..
- 크로스 테이블 통계의 향후 작업에 도움이되는 수정을 포함하여 PG_DUMP에 대한 몇 가지 수정
- 내부 PL/Python 함수에 대한 PL/Python 스택 추적보고에 대한 수정
- contrib/auto_explain 허용 int_max까지의 범위가 약 24 일
- 마크 다양한 구성 변수는 PGDLLIMPORT로, 확장자 모듈을 Windows로 편하게 쉽게하기 위해
감사의 말
토토 사이트은 CVE-2018-1058을 보안 팀에보고 한 Arseniy Sharoglazov에게 감사의 말씀을 전합니다.
링크