Обновление поддерживаемых веток PostgreSQL с исправлением уязвимости

5 октября 2010 года

Доступны (Архивная копия от 8 сентября 2011 на Wayback Machine) новые релизы во всех поддерживаемых ветках PostgreSQL: 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 и 7.4.30. В новых версиях в сумме исправлено более 130 разных ошибок, при этом в версии 9.0.1 устранено 10 ошибок, а в 8.4.5 - около 50. Отдельно отмечается устранение проблемы безопасности:

  • Аутентифицированный пользователь СУБД с доверительными правами ("trusted") запуска хранимых процедур мог манипулировать содержимом модулей и связанных-переменных в функциях на языках PL/Perl и PL/Tcl, что можно использовать для организации выполнения кода с привилегиями другого пользователя, использующего функции с атрибутом "SECURITY DEFINER". Также сообщается, что проблеме подвержены функции на PL/PHP и других процедурных языках, исправление для PL/PHP пока недоступно, но будет выпущено в ближайшее время.

Некоторые из наиболее серьезных исправлений:

  • Устранен крах при выполнении функции show_session_authorization() в момент выполнения операции autovacuum;
  • Решена проблема с утечкой соединений после двойного указания некорректного имени соединения. Налажена обработка имен соединений длиннее 63 байт. Улучшена работа contrib/dblink для таблиц с удаленными столбцами;
  • Добавлена защита от возвращения функциями setof-записи, когда не все возвращаемые строки имеют идентичный тип столбцов. Ошибка свойственна только 8.0 и более ранним веткам;
  • Устранено возможное дублирование сканирования связей для выражения UNION ALL. Ошибка свойственна только 8.2 и более ранним веткам;
  • Возникновение фатального состояния (PANIC) сведено до вывода ошибки (ERROR) в случае редкого возникновения проблем с btree. Ошибка свойственна только 8.2 и более ранним веткам;
  • В contrib/hstore добавлена функция hstore(text, text), позволяющая уйти от использования оператора "=", который объявлен устаревшим в ветке 9.0. Изменение затрагивает только 8.2 и более ранние ветки;
  • Исправлена проблема с пометкой прокешированных планов как скоротечных, что приводило к неправильному использованию CREATE INDEX CONCURRENTLY. Ошибка свойственна только 8.3 и более ранним веткам;
  • Исправлена ошибки вычисления внутренней составляющей внешней JOIN-операции, являющейся подзапросом с нестрогим выражением в выходном списке. Изменение затрагивает только 8.4 и более ранние ветки;
  • Добавлена поддержка удачной полной верификации SSL-сертификата, в случае когда одновременно указаны и имя и адрес хоста (host и hostaddr). Изменение затрагивает только 8.4 и более ранние ветки;
  • Улучшена возможность по параллельному восстановлению в случае указания выборочных опций ("restore -L"). Изменение затрагивает только 8.4 и более ранние ветки;
  • Решена проблема, когда запрос "ALTER TABLE t ADD COLUMN c serial" выполняет не владелец таблицы. Изменение затрагивает только ветку 9.0.

Примечательно, что обновления также выпущены для веток PosgreSQL 7.4 и 8.0, поддержку которых планировалось прекратить в июле. Это последнее обновление для веток PosgreSQL 7.4 и 8.0, пользователям рекомендуется запланировать переход на более новую версию PostgreSQL. Поддержка ветки PostgreSQL 8.1 будет прекращена в ноябре 2010 г., PostgreSQL 8.2 - в декабре 2011 г., PostgreSQL 8.3 - в феврале 2013 г., а PostgreSQL 8.4 в июле 2014 г.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление поддерживаемых веток PostgreSQL с исправлением уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.