PostgreSQL 全球开发组今天发布了 PostgreSQL 对象关系数据库系统所有活跃分支的安全更新,包括 9.0.1、8.4.5、8.3.12、8.2.18、8.1.22、8.0.26 和 7.4.30 版本。这是 PostgreSQL 7.4 和 8.0 版本的最终更新。
此更新包含一个安全补丁,可防止通过修改“受信任”的过程语言函数来提升未授权的权限,以及多个修复程序,用于解决次要的正常运行时间、数据完整性和错误处理问题。
使用 PL/perl 和 PL/tcl 过程语言以及 SECURITY DEFINER 的用户应立即更新其安装。我们强烈建议所有其他数据库管理员在下一次计划的停机时间内更新您的 PostgreSQL 版本。
次要版本 7.4.30 和 8.0.26 是 PostgreSQL 7.4 和 8.0 的最终版本,因为这两个版本不再受支持。PostgreSQL 社区也将在今年晚些时候停止发布 8.1 版本的更新。我们鼓励用户尽快升级到更新的版本。请参阅我们的发布支持政策
https://wiki.postgresql.ac.cn/wiki/PostgreSQL_Release_Support_Policy
此安全漏洞允许任何具有“受信任”过程语言使用权限的普通 SQL 用户在运行时修改过程语言函数的内容。如 CVE-2010-3433 中详述,经过身份验证的用户可以通过劫持 SECURITY DEFINER 函数(或某些其他现有的身份验证更改操作)来实现权限提升。仅仅存在过程语言并不会使您的数据库应用程序容易受到攻击。
PL/Perl 和 PL/tcl 在此版本中已修补;PL/PHP 的补丁正在等待中。所有具有受信任版本的第三方过程语言也容易受到此问题的影响。咨询 CVE-2010-3433:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3433
此版本包括大量内部文档更新和 130 个错误修复,包括
请参阅发行说明,了解包含详细信息的完整更改列表。
与其他次要版本一样,用户无需转储和重新加载其数据库即可应用此更新版本;您只需关闭 PostgreSQL 并更新其二进制文件即可。跳过多个更新的用户可能需要检查发行说明,了解额外的更新后步骤。
立即下载新版本
如果您想了解有关此漏洞的更详细解释,请访问常见问题解答。
此帖子是从以前版本的 PostgreSQL 网站迁移过来的。对于迁移导致的任何格式问题,我们深表歉意。