今天,PostgreSQL 全球开发小组发布了更新版本,修复了五个安全漏洞。这些版本更新了所有当前的 PostgreSQL 版本,包括 8.2、8.1、8.0、7.4 和 7.3。它们被认为是关键更新,PostgreSQL DBA 和系统管理员应尽快安装更新。我们的安全团队已尽一切努力使这些补丁向后兼容,升级不需要转换您的数据文件。
请阅读本消息的其余部分,了解更多重要细节和公告。
此版本中包含五个安全修复程序。已知这些问题均未在实际环境中被利用;它们是通过安全分析发现的。
索引函数权限提升 (CVE-2007-6600):作为一个独特的功能,PostgreSQL 允许用户在用户自定义函数的结果上创建索引,称为“表达式索引”。这提供了两个权限提升漏洞:(1)索引函数在 VACUUM 和 ANALYZE 期间以超级用户而不是表所有者的身份执行,(2)允许在索引函数中使用 SET ROLE 和 SET SESSION AUTHORIZATION。现在,这两个漏洞都已关闭。
正则表达式拒绝服务 (CVE-2007-4772, CVE-2007-6067, CVE-2007-4769):PostgreSQL 使用的正则表达式库中的三个独立问题允许恶意用户通过在 SQL 查询中传递某些正则表达式来发起拒绝服务攻击。首先,用户可以使用一些特定的正则表达式创建无限循环。其次,某些复杂的正则表达式可能会消耗过多的内存。第三,可以使用超出范围的反向引用数字来使后端崩溃。所有这些问题都已修复。
DBLink 权限提升 (CVE-2007-6601):DBLink 函数与本地信任或 ident 身份验证相结合,可能会被恶意用户用来获取超级用户权限。此问题已修复,并且不影响未安装 DBLink(可选模块)或对本地访问使用密码身份验证的用户。这个问题在之前的版本周期中已经解决(参见 CVE-2007-3278),但是该补丁未能关闭所有形式的漏洞。
PostgreSQL 7.3 版本的次要版本 7.3.21 将是 7.3 分支的最后一次更新。由于 7.3 版本现已超过五年,因此社区在今天的发布之后将不再为其发布补丁。建议 7.3 版本用户尽快升级到更新的版本,或从愿意继续为其进行向后移植的商业支持供应商寻求支持。
8.1.11 和 8.0.15 也是 PostgreSQL 社区将为 Windows 生成二进制包的最后 8.1 和 8.0 更新版本。建议 Windows 用户迁移到 8.2.6 或更高版本,因为 8.2 中存在 Windows 特定的修复程序,向后移植是不切实际的。8.1 和 8.0 更新将继续在其他平台和源代码形式上得到支持。
PostgreSQL 次要版本 8.2.6、8.1.11、8.0.15、7.4.19 和 7.3.21 可通过我们的 FTP 镜像网络获得
如果您需要有关包含的更新的更多信息,请查阅我们的发行说明。这些升级可以直接复制到现有的 PostgreSQL 二进制文件上,并且对于过去六个月内更新的任何系统都不需要转储和重新加载(较旧的版本可能需要一些特定的更新后步骤;请参阅发行说明)。
与往常一样,PostgreSQL 更新版本是累积的。所有安全修复程序都将包含在即将发布的 8.3 发行候选版中。此通知将发布到PostgreSQL 安全页面。
-- PostgreSQL 全球开发小组
此帖子已从 PostgreSQL 网站的先前版本迁移而来。对于迁移造成的任何格式问题,我们深感抱歉。