PostgreSQL 글로벌 개발 그룹은 지원되는 모든 기능에 대한 업데이트를 출시했습니다. 13.1, 12.5, 11.10, 10.15, 9.6.20 등을 포함한 데이터베이스 시스템 버전 9.5.24. 이번 릴리스에서는 세 가지 보안 취약점이 해결되고 65개 이상의 수정 사항이 해결되었습니다. 지난 3개월 동안 보고된 버그입니다.
CVE-2020-25695의 특성으로 인해 다음을 수행하는 것이 좋습니다.가능한 한 빨리 업데이트.
또한, 이것은 토토 커뮤니티 9.5의 마지막에서 두 번째 릴리스입니다. 만약 당신이 프로덕션 환경에서 토토 커뮤니티 9.5를 실행하는 경우 업그레이드할 계획입니다.
변경 사항 전체 목록을 보려면 다음을 검토하세요.PostgreSQL : 문서 : 17 : 부록 E. 토토 결과 노트.
영향을 받는 버전: 9.5 - 13. 보안 팀은 일반적으로 테스트하지 않습니다. 지원되지 않는 버전이지만 이 문제는 꽤 오래된 문제입니다.
적어도 하나의 비임시 개체를 생성할 수 있는 권한을 가진 공격자 스키마는 수퍼유저의 ID로 임의의 SQL 함수를 실행할 수 있습니다.
토토 커뮤니티을 즉시 업데이트하는 것이 대부분의 사용자에게 가장 좋은 해결 방법이지만
그렇게 할 수 없는 사용자는 비활성화하여 취약점을 해결할 수 있습니다.
autovacuum이며 수동으로 실행되지 않음분석, 클러스터, REINDEX,
색인 생성, 진공이 가득 참, 구체화된 보기 새로고침또는 다음에서 복원
의 출력pg_dump명령. 이 경우 성능이 빠르게 저하될 수 있습니다.
해결 방법.
진공없이전체옵션은 안전하며 모든 명령은 다음과 같은 경우에 괜찮습니다.
신뢰할 수 있는 사용자가 대상 개체를 소유합니다.
토토 커뮤니티 프로젝트는 이 문제를 보고한 Etienne Stalmans에게 감사드립니다.
영향을 받는 버전: 9.5 - 13. 보안 팀은 일반적으로 테스트하지 않습니다. 지원되지 않는 버전이지만 이 문제는 꽤 오래된 문제입니다.
많은 토토 커뮤니티 제공 클라이언트 응용프로그램에는 추가 생성 옵션이 있습니다.
데이터베이스 연결. 이러한 애플리케이션 중 일부는 기본 애플리케이션만 재사용합니다.
연결 매개변수(예:호스트, 사용자, 포트), 다른 항목은 삭제합니다. 만약 이
보안 관련 매개변수를 삭제합니다(예:채널_바인딩, sslmode,
requirepeer, gssencmode), 공격자는 MITM을 완료할 기회를 갖습니다.
공격하거나 일반 텍스트 전송을 관찰합니다.
영향을 받는 응용 프로그램은클러스터DB, pg_dump, pg_restore, psql,
reindexdb그리고vacuumdb. 취약점은 호출하는 경우에만 발생합니다.
다음을 포함하는 연결 문자열이 있는 영향을 받는 클라이언트 응용 프로그램
보안 관련 매개변수입니다.
이것은 또한 방법을 수정합니다\연결명령psql연결을 재사용합니다
매개변수, 즉 이전 연결에서 재정의되지 않은 모든 매개변수
이제 문자열이 재사용됩니다.
토토 커뮤니티 프로젝트는 이 문제를 보고한 Peter Eisentraut에게 감사드립니다.
psql의\gset특별히 처리된 변수 덮어쓰기 허용영향을 받는 버전: 9.5 - 13. 보안 팀은 일반적으로 테스트하지 않습니다. 지원되지 않는 버전이지만 이 문제는 기능이 출시되면서 발생했을 가능성이 높습니다. 버전 9.3에서.
그\gset설정하는 메타 명령psql쿼리 결과에 따른 변수,
제어하는 변수를 구별하지 않음psql행동. 대화형인 경우psql세션 사용\gset손상된 서버를 쿼리할 때 공격자는 다음을 수행할 수 있습니다.
실행 중인 운영 체제 계정으로 임의의 코드를 실행합니다.psql.
사용\gset접두사가 특별히 처리된 변수 중에서 발견되지 않음, 예:
소문자 문자열은 패치되지 않은 공격을 배제합니다.psql.
토토 커뮤니티 프로젝트는 이 문제를 보고한 Nick Cleaton에게 감사드립니다.
이 업데이트는 또한 지난 몇 년 동안 보고된 65개 이상의 버그를 수정합니다. 개월. 이러한 문제 중 일부는 버전 13에만 영향을 미치지만 다른 버전에도 적용될 수 있습니다. 지원되는 버전입니다.
수정 사항 중 일부는 다음과 같습니다:
START_REPLICATION.fsync은 토토 커뮤니티이 유지 관리하는 SLRU 캐시에서 호출됩니다. 이
운영 체제 충돌로 인한 잠재적인 데이터 손실을 방지합니다.역할 변경다음 사용자를 위한 사용법BYPASSRLS허가.테이블만 변경...표현 삭제파티션된 테이블에서는 허용되지 않습니다.
하위 테이블이 있는 경우.테이블만 변경...트리거 활성화/비활성화적용되지 않음
하위 테이블.테이블 변경 ... NULL이 아닌 설정파티션된 테이블에서
잠재적인 교착 상태가 동시에 발생함pg_restore.다음과 같은 테이블 생성상속됨.동시에 인덱스 삭제분할된 테이블에서는 허용되지 않습니다.락 테이블던지는 대신 자기 참조 보기에서 성공하려면
오류입니다.동시에 REINDEX.생성됨열은 의존하는 열이 있을 때 업데이트됩니다.
규칙이나 업데이트 가능한 보기를 통해 업데이트됩니다..datetime()ISO 8601 형식 타임스탬프를 허용하는 방법.REINDEX색인에.설명올바른 XML 태그 중첩을 갖기 위해
증분 정렬 계획.전화PL/pgSQL 사용,SIGHUP구성 매개변수를 처리하는 중입니다.
다시 시작하지 않고 적용할 수 있으며 파티션에 대한 인덱스 조회를 위한 극단적인 경우입니다.psql이제 텍스트 모드에서 백틱 명령의 출력을 읽습니다.
바이너리 모드가 아니므로 이제 개행 문자를 적절하게 처리할 수 있습니다.pg_dump, pg_restore, 클러스터DB, reindexdb및vacuumdb사용
복잡한 연결 문자열 매개변수.\연결명령psql연결 매개변수를 재사용합니다.
이전 연결 문자열의 재정의되지 않은 모든 매개 변수도
재사용되었습니다.pg_dump확장에 대한 열별 정보를 수집합니다.
구성 테이블, 지정 시 충돌 방지--삽입.pg_restore외래 키 참조를 처리합니다.
올바른 순서로 파티션을 나눈 테이블입니다.contrib/pgcrypto, 메모리 누수 수정 포함.이 업데이트에는 피지의 DST 법률 변경 사항에 대한 tzdata 릴리스 2020d도 포함되어 있습니다. 모로코, 팔레스타인, 캐나다 유콘, 맥쿼리 섬, 케이시 기지 (남극); 프랑스, 헝가리, 모나코 및 팔레스타인.
사용 가능한 전체 변경 목록을 보려면 다음을 검토하세요.PostgreSQL : 문서 : 17 : 부록 E. 토토 결과 노트.
PostgreSQL 9.5는 2021년 2월 11일에 수정 사항 수신을 중단합니다. 프로덕션 환경에서 PostgreSQL 9.5를 실행하는 경우 지원되는 최신 버전의 PostgreSQL로 업그레이드할 계획입니다. 우리를 참조하십시오PostgreSQL : 사설 토토 사이트 관리 정책더 보기 정보.
모든 PostgreSQL 업데이트 릴리스는 누적됩니다. 다른 마이너 릴리스와 마찬가지로,
사용자는 데이터베이스를 덤프하고 다시 로드하거나 사용할 필요가 없습니다.pg_upgrade에
이 업데이트 릴리스를 적용하려면 간단히 토토 커뮤니티을 종료하고
바이너리를 업데이트하세요.
하나 이상의 업데이트 릴리스를 건너뛴 사용자는 추가로 실행해야 할 수도 있습니다. 업데이트 후 단계; 이전 버전의 릴리스 노트를 참조하세요. 세부사항.
자세한 내용은 다음을 참조하세요.PostgreSQL : 문서 : 17 : 부록 E. 토토 결과 노트.
참고: PostgreSQL 9.5는 2021년 2월 11일부터 수정 사항 수신을 중단합니다. 우리를 참조하세요PostgreSQL : 사설 토토 사이트 관리 정책용 자세한 정보.