PostgreSQL 10.3、9.6.8、9.5.12、9.4.17 和 9.3.22 发布!
发布于 2018-03-01,作者:PostgreSQL 全球开发组
PostgreSQL 项目
2018-03-01 安全更新发布
PostgreSQL 全球开发组发布了对所有受支持的 PostgreSQL 数据库系统版本的更新,包括 10.3、9.6.8、9.5.12、9.4.17 和 9.3.22。
此版本旨在解决 CVE-2018-1058,该漏洞描述了用户如何在不同的模式中创建同名对象,从而改变其他用户查询的行为,并导致意外或恶意行为,也称为“特洛伊木马”攻击。此版本的大部分内容集中在增加文档,描述问题以及如何采取步骤来减轻对 PostgreSQL 数据库的影响。
我们强烈建议所有用户访问《CVE-2018-1058 指南:保护您的搜索路径》,详细了解 CVE-2018-1058 以及如何保护您的 PostgreSQL 安装。
在评估 CVE-2018-1058 的文档后,数据库管理员可能需要在其 PostgreSQL 安装上采取后续步骤,以确保它们免受漏洞利用。
安全问题
此版本解决了一个安全漏洞
- CVE-2018-1058:pg_dump 和其他客户端应用程序中不受控制的搜索路径元素
请访问《CVE-2018-1058 指南:保护您的搜索路径》,以全面了解 CVE-2018-1058。
错误修复和改进
此更新修复了自上次累积更新以来报告的几个错误。其中一些问题仅影响版本 10,但许多问题影响所有受支持的版本。这些修复包括
- 防止逻辑复制尝试复制不可发布的关系的更改,例如物化视图和“information_schema”表
- 修复在子计划中被引用时,公共表表达式(WITH 子句)返回正确结果的问题,其中存在并发更新重新检查
- 修复在 OUTER JOIN 中存在重叠的合并连接子句的某些情况下,意外的查询计划器错误。
- 修复运行 pg_upgrade 后物化视图可能发生的数据损坏。如果在物化视图上收到诸如“无法访问事务的状态”或“找到 relfrozenxid 之前的 xmin”之类的错误,请使用不带“CONCURRENTLY”的“REFRESH MATERIALIZED VIEW”进行修复。
- 对 pg_dump 进行多项修复,包括修复以帮助未来进行跨表统计的工作
- 修复报告相对于内部 PL/Python 函数的 PL/Python 堆栈跟踪的问题
- 允许 contrib/auto_explain 的范围达到 INT_MAX,约为 24 天
- 将各种配置变量标记为 PGDLLIMPORT,以方便将扩展模块移植到 Windows
鸣谢
PostgreSQL 全球开发组感谢 Arseniy Sharoglazov 向安全团队报告 CVE-2018-1058。
链接