PostgreSQL 글로벌 개발 그룹은 지원되는 모든 기능에 대한 업데이트를 발표했습니다. 17.1, 16.5, 15.9, 14.14, 13.17 및 12.21을 포함한 PostgreSQL 버전. 이번 릴리스에서는 4개의 보안 취약점과 35개 이상의 버그가 수정되었습니다. 지난 몇 달 동안.
변경 사항 전체 목록을 보려면 다음을 검토하세요.스포츠 토토 베트맨 : 스포츠 토토 베트맨 노트.
이것은 토토 캔 12의 최종 릴리스입니다.. PostgreSQL 12는 이제 수명이 종료되었습니다 더 이상 보안 및 버그 수정을 받을 수 없습니다. 만약 당신이 프로덕션 환경에서 PostgreSQL 12를 실행하려면 다음을 수행하는 것이 좋습니다. 지원되는 최신 버전의 PostgreSQL로 업그레이드할 계획입니다. 우리를 참조하십시오PostgreSQL : 사설 토토 사이트 관리 정책더 보기 정보.
CVSS v3.1 기본 점수:4.2
지원되는, 취약한 버전: 12 - 17.
행 보안이 포함된 테이블의 PostgreSQL에서 불완전한 추적을 통해 재사용 가능 의도한 것과 다른 행을 보거나 변경하는 쿼리입니다.스포츠 토토 베트맨 : CVE-2023-2455그리고사설 토토 사이트 : CVE-2016-2193행 보안과 사용자 ID 변경 사이의 대부분의 상호 작용을 수정했습니다. 하위 쿼리, WITH 쿼리, 보안 호출자 보기 또는 SQL 언어 함수는 행 수준 보안 정책이 있는 테이블을 참조합니다. 이는 이전의 두 CVE와 동일한 결과를 가져옵니다. 즉, 잠재적으로 잘못된 정책이 적용되는 결과를 낳습니다. 역할별 정책이 사용되고 특정 쿼리가 계획된 경우 하나의 역할을 수행한 다음 다른 역할로 실행합니다. 이 시나리오는 다음에서 발생할 수 있습니다. 보안 정의자 기능 또는 일반 사용자 및 쿼리가 처음에 계획된 경우 그런 다음 여러 SET ROLE에서 재사용됩니다.
잘못된 정책을 적용하면 사용자가 금지된 정책을 완료할 수 있습니다.
읽기 및 수정. 이는 다음을 사용한 데이터베이스에만 영향을 미칩니다.정책 생성행 보안 정책을 정의합니다. 공격자는 공격을 다음과 같이 조정해야 합니다.
특정 애플리케이션의 쿼리 계획 재사용 패턴, 사용자 ID 변경 등
역할별 행 보안 정책. 이전 버전
PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, 12.21이 영향을 받습니다.
토토 캔 프로젝트는 이 문제를 보고한 Wolfgang Walther에게 감사드립니다.
CVSS v3.1 기본 점수:3.1
지원되는, 취약한 버전: 12 - 17.
클라이언트가 PostgreSQL에서 서버 오류 메시지를 사용하면 서버를 신뢰할 수 없습니다. 현재 SSL 또는 GSS 설정에서 NUL이 아닌 임의의 바이트를 제공합니다. libpq 애플리케이션. 예를 들어, 중간자 공격자는 긴 메시지를 보낼 수 있습니다. psql의 사람 또는 스크린 스크레이퍼 사용자가 유효한 것으로 착각하는 오류 메시지 쿼리 결과. 이는 아마도 사용자가 있는 클라이언트에서는 문제가 되지 않을 것입니다. 인터페이스는 하나의 오류 메시지와 다른 텍스트. PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 및 12.21 이전 버전 영향을 받습니다.
토토 캔 프로젝트는 이 문제를 보고한 Jacob Champion에게 감사드립니다.
CVSS v3.1 기본 점수:4.2
지원됨, 취약한 버전: 12 - 17.
토토 캔의 잘못된 권한 할당으로 인해 낮은 권한이 허용됩니다.
애플리케이션 사용자가 의도한 것과 다른 행을 보거나 변경할 수 있습니다. 공격
사용하려면 애플리케이션이 필요합니다.역할 설정,
세션 승인 설정,
또는 이에 상응하는 기능. 응용 프로그램 쿼리를 사용할 때 문제가 발생합니다.
공격자의 매개변수를 전송하거나 쿼리 결과를 공격자에게 전달합니다. 그렇다면
쿼리는 다음에 반응합니다.현재_설정('역할')또는 현재 사용자 ID로 수정될 수 있습니다.
또는 세션이 사용되지 않은 것처럼 데이터를 반환합니다.역할 설정또는세션 승인 설정. 공격자는 어떤 잘못된 사용자를 제어하지 않습니다.
아이디가 적용됩니다. 권한이 낮은 소스의 쿼리 텍스트는 여기서 문제가 되지 않습니다.
왜냐하면역할 설정그리고세션 승인 설정검토되지 않은 샌드박스가 아닙니다.
쿼리. PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 및 12.21 이전 버전
영향을 받습니다.
토토 캔 프로젝트는 이 문제를 보고한 Tom Lane에게 감사드립니다.
CVSS v3.1 기본 점수:8.8
지원되는 취약 버전: 12 - 17.
토토 캔의 환경 변수에 대한 잘못된 제어PostgreSQL : 문서 : 17 : 43 장 - PL/토토 꽁 머니 - 토토 꽁 머니 Prossural Language허용합니다
민감한 프로세스 환경 변수를 변경할 수 있는 권한이 없는 데이터베이스 사용자
(예:경로). 이는 종종 임의의 코드 실행을 가능하게 하는 데 충분합니다.
공격자에게는 데이터베이스 서버 운영 체제 사용자가 없습니다. 이전 버전
PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, 12.21이 영향을 받습니다.
토토 캔 프로젝트는 이 문제를 보고한 Coby Abrams에게 감사드립니다.
이 업데이트는 지난 몇 달 동안 보고된 35개 이상의 버그를 수정했습니다. 아래 나열된 문제는 PostgreSQL 17에 영향을 미칩니다. 이러한 문제 중 일부는 또한 지원되는 다른 PostgreSQL 버전에 영향을 미칩니다.
LC_CTYPEisC그동안LC_COLLATE다른 로캘입니다. 이로 인해 잘못된 쿼리가 발생할 수 있습니다.
결과. 데이터베이스에 이러한 설정이 있는 경우 모든 항목의 색인을 다시 생성하세요.
이 릴리스로 업데이트한 후 영향을 받는 인덱스입니다. 이 문제는 17.0에만 영향을 미쳤습니다.잘못된 varnullingrels플래너 오류:토토 캔 PostgreSQL : 문서 :행동.복사
FORCE_NOT_NULL그리고FORCE_NULL.Postgresql: Tài liệu:호출에 휘발성 함수가 포함되어 있습니다.테이블 생성 ... 다음을 사용하여. 이번 수정은
이 업데이트 이후에 생성된 파티션을 나눈 테이블에 대한 문제를 방지합니다.커밋 준비됨충돌 및 복구 후 수동 파일 제거가 필요할 수 있습니다.토토 베이 PostgreSQL완전히 설정되지 않은 커서를 제외하여 오류를 방지하는 보기입니다.전화문의 인수 목록 및전화a 내에 있음PL/pgSQL예외차단.psql \watch이제 1ms 미만의 값을 0으로 처리합니다.
(실행 사이에 대기 없음).pgpass)토토 사이트 추천 PostgreSQL이제 디렉토리에 증분 백업 파일이 있으면 오류가 발생합니다.
전체 백업이 포함되어야 합니다.vacuumdb그리고
병렬reindexdb.이 릴리스에서는 시간대 데이터 파일도 tzdata 릴리스 2024b로 업데이트됩니다. 이
tzdata 릴리스는 이전 System-V 호환 영역 이름을 복제하도록 변경합니다.
해당 지리적 구역; 예를 들어PST8PDT이제 다음의 별칭입니다.미국/Los_Angeles. 눈에 보이는 주요 결과는 타임스탬프에 대한 것입니다.
표준화된 시간대가 도입되기 전에 해당 시간대는 다음과 같이 간주됩니다.
명명된 위치의 현지 평균 태양시를 나타냅니다. 예를 들어,PST8PDT, 1801-01-01 00:00과 같은 timestamptz 입력은 이전에
다음과 같이 렌더링됨1801-01-01 00:00:00-08, 하지만 이제는 다음과 같이 렌더링됩니다.1801-01-01 00:00:00-07:52:58.
또한 멕시코, 몽골, 포르투갈에 대한 역사적 수정이 이루어졌습니다. 특히, Asia/Choibalsan은 이제 Asia/Ulaanbaatar가 아닌 Asia/Ulaanbaatar의 별칭입니다. 별도의 구역으로 구분된 이유는 주로 해당 구역 간의 차이점이 발견되었기 때문입니다. 신뢰할 수 없는 데이터를 기반으로 해야 합니다.
모든 토토 캔 업데이트 릴리스는 누적됩니다. 다른 마이너 릴리스와 마찬가지로,
사용자는 데이터베이스를 덤프하고 다시 로드하거나 사용할 필요가 없습니다.pg_upgrade에
이 업데이트 릴리스를 적용하려면 간단히 토토 캔을 종료하고
바이너리를 업데이트하세요.
다음을 실행한 외래 키 제약 조건이 있는 분할된 테이블이 있는 경우파티션 연결/파티션 분리명령을 수행해야 합니다.
업그레이드 후 추가 단계. 이 문제는를 실행하여 해결할 수 있습니다.스포츠 토토 베트맨 PostgreSQL이제 각각의 잘못된 제약조건에 대해 독립형 테이블에 대해 다음을 다시 추가합니다.
제약. 제약 조건을 다시 추가하는 데 실패하면 수동으로 추가해야 합니다.
참조 테이블과 참조 테이블 간의 일관성을 다시 설정한 다음
제약 조건을 다시 추가하세요.
이 쿼리는 깨진 제약 조건을 식별하고 명령을 구성하는 데 사용할 수 있습니다 다시 생성해야 합니다.
SELECT conrelid::pg_catalog.regclass AS "제약된 테이블",
AS 제약 조건 conname,
confrelid::pg_catalog.regclass AS "참조",
pg_catalog.format('ALTER TABLE %s DROP CONSTRAINT %I;',
conrelid::pg_catalog.regclass, conname) AS "drop",
pg_catalog.format('ALTER TABLE %s ADD CONSTRAINT %I %s;',
conrelid::pg_catalog.regclass, conname,
pg_catalog.pg_get_constraintdef(oid)) AS "추가"
pg_catalog.pg_constraint c에서
여기서 contype = 'f' AND conparentid = 0 AND
(pg_catalog.pg_constraint c2에서 SELECT 개수(*)
WHERE c2.conparentid = c.oid) <
(pg_catalog.pg_inherits i에서 SELECT 개수(*)
WHERE (i.inhparent = c.conrelid OR i.inhparent = c.confrelid) AND
존재(pg_catalog.pg_partitioned_table에서 1개 선택)
어디에서 partrelid = i.inhparent));
다음 중 하나 이상이 가능하므로제약조건 추가단계가 실패합니다.
쿼리의 출력을 파일에 저장한 다음 각 쿼리를 수행해야 합니다.
단계.
또한 토토 캔 17.0을 실행하고 libc를 기본값으로 사용하는 경우
데이터 정렬 공급자 및 설정됨LC_CTYPE되다C그동안LC_COLLATE은
로케일이 다르면 텍스트 기반 색인을 다시 작성해야 합니다. 당신은 할 수 있습니다
이것은PostgreSQL : 문서 : 17명령.
하나 이상의 업데이트 릴리스를 건너뛴 사용자는 추가 업데이트를 실행해야 할 수도 있습니다. 업데이트 후 단계; 자세한 내용은 이전 버전의 릴리스 노트를 참조하세요. 세부사항.
자세한 내용은 다음을 참조하세요.스포츠 토토 베트맨 : 스포츠 토토 베트맨 노트.
이번 출시 발표에 대한 수정 사항이나 제안 사항이 있는 경우 그들을 다음으로 보내세요.pgsql-www@lists.postgresql.org공개토토 커뮤니티 : 토토 커뮤니티 메일 링리스트 아카이브.