토토 사이트은 모든 지원되는 모든 것에 대한 업데이트를 발표했습니다. 13.1, 12.5, 11.10, 10.15, 9.6.20을 포함한 데이터베이스 시스템의 버전 및 9.5.24. 이 릴리스는 세 가지 보안 취약점을 마감하고 65 개 이상의 수정 사항 지난 3 개월 동안 버그 가보고되었습니다.
CVE-2020-25695의 특성으로 인해토토 결과 : 다운로드.
또한 이것은 토토 커뮤니티 9.5의 두 번째 릴리스 릴리스입니다. 당신이라면 생산 환경에서 토토 커뮤니티 9.5 실행, 우리는 당신이 업그레이드 계획.
전체 변경 목록은 검토하십시오.PostgreSQL : 문서 : 17 : 부록 E. 토토 결과 노트.
영향을받는 버전 : 9.5-13. 보안 팀은 일반적으로 테스트하지 않습니다. 지원되지 않는 버전이지만이 문제는 꽤 오래되었습니다.
적어도 하나에서 비 임시 객체를 생성 할 권한이있는 공격자 스키마는 슈퍼업자의 ID에 따라 임의의 SQL 기능을 실행할 수 있습니다.
토토 커뮤니티을 즉시 업데이트하는 동안 대부분의 사용자에게 가장 적합한 치료법입니다.
이를 수행 할 수없는 사용자
Autovacuum 및 수동으로 실행되지 않음분석, 클러스터, Reindex,
색인 생성, 진공 Full, Refresh Resisized View또는 복원
출력pg_dump명령. 이 아래에서 성능이 빠르게 저하 될 수 있습니다
해결 방법.
진공없음full옵션은 안전하고 모든 명령은
신뢰할 수있는 사용자는 대상 객체를 소유합니다.
토토 커뮤니티 프로젝트에 감사합니다 Etienne Stalmans이 문제를보고했습니다.
영향을받는 버전 : 9.5-13. 보안 팀은 일반적으로 테스트하지 않습니다. 지원되지 않는 버전이지만이 문제는 꽤 오래되었습니다.
많은 토토 커뮤니티 제공 클라이언트 응용 프로그램에는 추가 생성 옵션이 있습니다
데이터베이스 연결. 이러한 응용 프로그램 중 일부는 기본 만 재사용합니다
연결 매개 변수 (예 :host, 사용자, 포트), 다른 사람들을 떨어 뜨립니다. 이 경우
보안 관련 매개 변수를 삭제합니다 (예 :Channel_Binding, sslmode,
요구 사항, gssencmode), 공격자는 MITM을 완료 할 기회가 있습니다.
명확한 텍스트 전송을 공격하거나 관찰하십시오.
영향을받는 응용 프로그램은ClusterDB, pg_dump, PG_RESTORE, PSQL,
ReindexDB및VACUUMDB. The vulnerability arises only if one invokes an
연결 문자열이 포함 된 영향을받는 클라이언트 응용 프로그램 a
보안 관련 매개 변수.
이것은 또한 어떻게를 수정합니다.\ connect명령PSQL연결을 재사용합니다
매개 변수, 즉 이전 연결의 모든 비 배정 된 매개 변수
이제 문자열이 재사용되었습니다.
토토 커뮤니티 프로젝트 감사합니다 Peter Eisentraut이 문제를보고했습니다.
PSQL's\ gset특수 처리 된 변수를 덮어 쓰기영향을받는 버전 : 9.5-13. 보안 팀은 일반적으로 테스트하지 않습니다. 지원되지 않는 버전이지만이 문제는 기능의 데뷔와 함께 도착했을 것입니다. 버전 9.3.
the\ gsetMeta-Command, 설정PSQL쿼리 결과를 기반으로하는 변수,
제어하는 변수를 구별하지 않습니다PSQL행동. 대화식 인 경우PSQL세션 용도\ gset손상된 서버를 쿼리 할 때 공격자는 할 수 있습니다
실행중인 운영 체제 계정으로 임의 코드를 실행PSQL.
사용\ gset특별히 처리 된 변수 중에서 접두사가없는 경우 (예 :
모든 소문자 문자열은 배치되지 않은 공격을 배제합니다PSQL.
토토 커뮤니티 프로젝트 감사합니다.이 문제를보고 한 Nick Cleaton.
이 업데이트는 마지막 몇 가지에보고 된 65 개 이상의 버그를 수정합니다. 달. 이러한 문제 중 일부는 버전 13에만 영향을 미치지 만 다른 것도 적용 할 수도 있습니다. 지원되는 버전.
이 수정 사항 중 일부는 다음과 같습니다.
start_replication.fsync토토 커뮤니티이 유지하는 SLRU 캐시에서 호출됩니다. 이것
운영 체제 충돌로 인한 잠재적 데이터 손실을 방지합니다.ALTER 역할사용자를위한 사용BYSPASSRLS허가.ALTER 테이블 만 ... 드롭 식분할 된 테이블에서 허용되지 않습니다
어린이 테이블이있을 때.Alter Table 만 ... 활성화/비활성화적용되지 않습니다
어린이 테이블.ALTER 테이블 ... 널 설정a를 피하기 위해 분할 된 테이블에서
동시에 잠재적 교착 상태PG_RESTORE.테이블 생성상속 재산.동시에 인덱스 삭제분할 된 테이블에서 허용되지 않습니다.잠금 테이블던지는 대신 자기 참조 관점에서 성공합니다
오류.Reindex 동시에.생성열은 의존하는 열이 업데이트됩니다
규칙 또는 업데이트 가능한보기를 통해 업데이트됩니다..dateTime ()ISO 8601- 형식 타임 스탬프를 허용하는 메소드Reindexin index.설명올바른 XML 태그 중첩을 갖습니다
증분 정렬 계획.callpl/pgsql withSighup할 수없는 구성 매개 변수 처리
파티션에 대한 인덱스 조회를 위해 다시 시작하지 않고 적용하고 가장자리를 조회하십시오.PSQL이제 텍스트 모드에서 백 틱 명령의 출력을 읽습니다.
바이너리 모드가 아니므로 이제 신형을 올바르게 처리 할 수 있습니다.pg_dump, PG_RESTORE, ClusterDB, ReindexDB및VACUUMDB사용
복잡한 연결 스트링 매개 변수.\ connect명령PSQL연결 매개 변수를 재사용하고 확인하십시오
이전 연결 문자열의 모든 비정규 매개 변수도
재사용.pg_dump확장에 대한 열당 정보를 수집합니다
구성 테이블, 지정시 충돌 방지-inserts.PG_RESTORE외래 키 참조를 처리합니다
올바른 순서로 분할 된 테이블.Contrib/Pgcrypto, 메모리 누출 수정을 포함하여이 업데이트는 피지의 DST 법률 변경을위한 TZDATA 릴리스 2020D도 포함되어 있습니다. 모로코, 팔레스타인, 캐나다 유콘, 맥쿼리 섬 및 케이시 스테이션 (남극 대륙); 프랑스, 헝가리, 모나코 및 팔레스타인.
사용 가능한 전체 변경 목록은를 검토하십시오.PostgreSQL : 문서 : 17 : 부록 E. 토토 결과 노트.
Postgresql 9.5는 2021 년 2 월 11 일에 수정을 중단합니다. 생산 환경에서 Postgresql 9.5 실행, 우리는 당신이 새로운 지원되는 버전의 PostgreSQL로 업그레이드 할 계획입니다. 참조 참조PostgreSQL : 사설 토토 사이트 관리 정책더 많은 경우 정보.
모든 PostgreSQL 업데이트 릴리스는 누적됩니다. 다른 사소한 릴리스와 마찬가지로
사용자는 데이터베이스를 덤프하고 다시로드 할 필요가 없습니다.pg_upgradein
이 업데이트 릴리스를 적용하려면 PostgreSQL을 종료 할 수 있습니다
바이너리를 업데이트하십시오.
하나 이상의 업데이트 릴리스를 건너 뛰는 사용자는 추가로 실행해야 할 수 있습니다. 업데이트 후 단계; 이전 버전의 릴리스 노트를 참조하십시오 세부.
자세한 내용은 참조하십시오.PostgreSQL : 문서 : 17 : 부록 E. 토토 결과 노트.
note: Postgresql 9.5는 2021 년 2 월 11 일에 수정을 중단합니다. 우리의보기PostgreSQL : 사설 토토 사이트 관리 정책더 많은 정보.