다음 버전 이이 릴리스를 구성합니다.
이 FAQ는 2013-04-04 PostgreSQL 보안 업데이트를 일반적으로 다루고 있습니다. 대부분의 내용은 풀어 주다,CVE-2013-1899.
출시 당시 알려진 악용이 없었습니다.
사설 토토 네트워크 포트에 무제한 액세스를 허용하는 모든 시스템, 퍼블릭 클라우드에서 사설 토토을 실행하는 사용자와 같은 사용자는 특히 취약합니다. 보호 된 내부 네트워크에서만 액세스 할 수있는 서버 또는 효과적인 방화구 또는 기타 네트워크 액세스 제한이 적고 적습니다. 취약한.
이것은 데이터베이스 보안에 대한 좋은 일반적인 규칙입니다 : 포트 액세스를 허용하지 마십시오. 신뢰할 수없는 네트워크의 데이터베이스 서버로 절대적으로 필요한. 이것은 다른 데이터베이스 시스템의 사실 또는 더 사실입니다. Postgresql.
취약점을 통해 사용자는 사설 토토에 명령 줄 스위치를 사용할 수 있습니다. 사설 토토이 실행되는 동안 단일 사용자 복구 모드를위한 연결 정상적인 다중 사용자 모드. 이것은 서버에 해를 끼치는 데 사용될 수 있습니다.
버전 9.0, 9.1 및 9.2.
버전 8.4의 사용자는 영향을받지 않습니다. 버전 8.3 이상의 사용자는입니다 이 문제의 영향을받지 않았지만 다른 방치되지 않은 보안에 취약합니다. 취약점, 해당 버전은 EOL이므로
PostgreSQL이있는 Selinux와 같은 고급 보안 프레임 워크 사용 Sepostgres 확장, 또한 노출 및 잠재적 손상을 줄이거 나 제거합니다. PostgreSQL 보안 취약점에서.
취약성에 대한 구체적인 내용은 보안 팀에 처음 공개되었습니다.
사설 토토 Global Development Group (PGDG)은 몇 년 동안 배포 할 사설 토토 바이너리 패키지를 구축하는 엔지니어를 부여하는 정책 대중에게 (예 : RPM 및 Windows 설치 업체) 조기 액세스를 위해 공무원에게 패키지를 준비 할 수 있도록 정보 및 코드 릴리스 출시일. 이것은 미성년자 및 주요 릴리스에 모두 적용됩니다. 주어진 분포로서 사설 토토-A-Service (PGA)의 유병률 증가 메커니즘, 우리는 클라우드 사례를 수용하기 위해이 정책을 수정하고 있습니다. 제공자. 새로운 정책은 여전히 편집 중이며 곧 사용할 수 있어야합니다.
이 취약점은 Postgresql Global Development에 처음보고되었습니다. 2013 년 3 월 12 일 그룹 (PGDG) 보안 팀
우리는 Red Hat Security 팀의 도움으로 CVE에 제출했습니다. 3 월 27 일.
NTT 오픈 소스 소프트웨어 센터의 Mitsumasa Kondo 및 Kyotaro Horiguchi 보안 감사를 수행하는 동안. NTT는 Postgresql에 오랫동안 기여합니다.
Kondo-san and Horiguchi-san은 inceric@사설 토토.org로 이메일을 보냈습니다.
Heroku는 업데이트 된 소스 코드에 대한 액세스 권한을 부여했습니다. 다른 포장기와 동시에 취약성. Heroku는 특히 취약한 Postgresql Core 팀은 그들과 함께 일했습니다. 인프라 및 보안 테스트 베드로 배포를 사용합니다. 패치. 이것은 보안 업데이트가 어떤 것도 파괴하지 않았 음을 확인하는 데 도움이되었습니다. 응용 프로그램 기능. Heroku는 긴밀하게 협력 한 역사를 가지고 있습니다 커뮤니티 개발자 및 Postgresql의 실험 기능 테스트 서비스.
우리는 PGDG에서 호스팅 된 개인 목록에서 통신하는 두 팀이 있습니다. 하부 구조. 두 팀 모두 릴리스 전에 소스 코드에 액세스했습니다. 보안 패치 분석을위한 패키지 및 패키지 만들기 패키지 Postgresql Binaries 배포. 이들은 우리의 보안 팀이자 패키퍼입니다 목록. 두 경우 모두,이 그룹은 보안 구멍 패치.
현재 PostgreSQL 프로젝트는 그렇지 않은 사용자를 제공하지 않습니다. 보안 취약점 패치 또는 포장 PostgreSQL에 직접 관여합니다 다른 사용자의 경우 보안 정보, 패치 또는 코드에 대한 조기 액세스. 그것은 앞으로도 우리는 그러한 것을 제공 할 수있는 위치에있을 가능성이 있습니다. 액세스이지만 지금은 할 수 없습니다.
취약점의 심각성을 감안할 때 PostgreSQL Core 팀은 심의했습니다. 수정에 대한 소스 코드를 가지고 제기 된 보안 위험을 결정했습니다. 패키지가 대중의 것보다 더 큰 패키지를 이용할 수 있기 전에 이용 가능합니다. 즉각적인 접근에 대한 관심.
보안 릴리스에 대한 정보를 공유하기위한 일반 절차는 보내는 것입니다. 발표는 우리의 개발자 메일 링리스트, pgsql-hackers@lists.postgresql.org, 일주일 새로운 릴리스 전에. Tom Lane이 이것을했습니다. 그런 다음, 심각성으로 인해 보안 취약성, 우리는 또한 발표를 보냈습니다 pgsql-annount@postgresql.org 및 웹 사이트 홈페이지의 RSS 뉴스 피드. 우리는 DBA를 계획하기에 충분한 시간을주고 싶었 기 때문에 우리는 이것을했습니다. 업그레이드 할 유지 보수 창.
공지 사항과 릴리스의 타이밍은 가용성을 기반으로합니다. 릴리스를 수행하기 위해 자원 봉사 포장업자 및 석방 관리자의.
사설 토토 Global Development Group (PGDG)은 자원 봉사 운영 글로벌입니다 조직. 우리는 6 인 핵심 팀, 여러 주요 기고자 및 지역 사회의 중앙 집중식 부분을 구성하는 여러 메일 링리스트.자세한 내용은 여기를 참조하십시오 기고자 소개.
두 그룹의 멤버십은 핵심 팀에 의해 유지됩니다.
우리는 매년 0 ~ 7 개의 사소한 보안 문제를 발견합니다. 이것은 첫 번째입니다 2006 년 이후이 규모의 보안 문제 : "백 슬래시 탈출 인코딩 "MySQL 및 기타 몇 가지 데이터베이스 시스템에도 영향을 미치는"issue "
설립을위한 리팩토링 노력의 부작용으로 만들어졌습니다. 사설 토토 서버에 대한 새로운 연결이 더 빠르고 관련 코드가 더 유지 가능.
우리는 테스트를 거친 많은 보안 엔지니어 풀을 갖는 것이 운이 좋다. PostgreSQL은 보안 문제를 정기적이고 책임감있게보고하여 결정된. 여기에는 다음이 포함됩니다 :
이 릴리스는 또한 다른 4 가지 사소한 보안 문제를 업데이트합니다. 에 상세토토 : 보안 정보및 릴리스 발표. 많은 버그 수정이 포함되어 있습니다 사설 토토도 두 가지 잠재적 인 데이터 손상 문제에 대한 수정 사항도 있습니다. 이진 복제와 함께.