The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление поддерживаемых веток PostgreSQL с исправлением уязвимости

05.10.2010 22:29

Доступны новые релизы во всех поддерживаемых ветках PostgreSQL: 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 и 7.4.30. В новых версиях в сумме исправлено более 130 разных ошибок, при этом в версии 9.0.1 устранено 10 ошибок, а в 8.4.5 - около 50. Отдельно отмечается устранение проблемы безопасности:

  • Аутентифицированный пользователь СУБД с доверительными правами ("trusted") запуска хранимых процедур мог манипулировать содержимом модулей и связанных-переменных в функциях на языках PL/Perl и PL/Tcl, что можно использовать для организации выполнения кода с привилегиями другого пользователя, использующего функции с атрибутом "SECURITY DEFINER". Также сообщается, что проблеме подвержены функции на PL/PHP и других процедурных языках, исправление для PL/PHP пока недоступно, но будет выпущено в ближайшее время.

    Некоторые из наиболее серьезных исправлений:

    • Устранен крах при выполнении функции show_session_authorization() в момент выполнения операции autovacuum;
    • Решена проблема с утечкой соединений после двойного указания некорректного имени соединения. Налажена обработка имен соединений длиннее 63 байт. Улучшена работа contrib/dblink для таблиц с удаленными столбцами;
    • Добавлена защита от возвращения функциями setof-записи, когда не все возвращаемые строки имеют идентичный тип столбцов. Ошибка свойственна только 8.0 и более ранним веткам;
    • Устранено возможное дублирование сканирования связей для выражения UNION ALL. Ошибка свойственна только 8.2 и более ранним веткам;
    • Возникновение фатального состояния (PANIC) сведено до вывода ошибки (ERROR) в случае редкого возникновения проблем с btree. Ошибка свойственна только 8.2 и более ранним веткам;
    • В contrib/hstore добавлена функция hstore(text, text), позволяющая уйти от использования оператора "=>", который объявлен устаревшим в ветке 9.0. Изменение затрагивает только 8.2 и более ранние ветки;
    • Исправлена проблема с пометкой прокешированных планов как скоротечных, что приводило к неправильному использованию CREATE INDEX CONCURRENTLY. Ошибка свойственна только 8.3 и более ранним веткам;
    • Исправлена ошибки вычисления внутренней составляющей внешней JOIN-операции, являющейся подзапросом с нестрогим выражением в выходном списке. Изменение затрагивает только 8.4 и более ранние ветки;
    • Добавлена поддержка удачной полной верификации SSL-сертификата, в случае когда одновременно указаны и имя и адрес хоста (host и hostaddr). Изменение затрагивает только 8.4 и более ранние ветки;
    • Улучшена возможность по параллельному восстановлению в случае указания выборочных опций ("restore -L"). Изменение затрагивает только 8.4 и более ранние ветки;
    • Решена проблема, когда запрос "ALTER TABLE t ADD COLUMN c serial" выполняет не владелец таблицы. Изменение затрагивает только ветку 9.0.

    Примечательно, что обновления также выпущены для веток PosgreSQL 7.4 и 8.0, поддержку которых планировалось прекратить в июле. Это последнее обновление для веток PosgreSQL 7.4 и 8.0, пользователям рекомендуется запланировать переход на более новую версию PostgreSQL. Поддержка ветки PostgreSQL 8.1 будет прекращена в ноябре 2010 г., PostgreSQL 8.2 - в декабре 2011 г., PostgreSQL 8.3 - в феврале 2013 г., а PostgreSQL 8.4 в июле 2014 г.

    1. Главная ссылка к новости (http://www.postgresql.org/abou...)
    2. OpenNews: Релиз СУБД PostgreSQL 9.0
    3. OpenNews: Вышла первая альфа-версия PostgreSQL 9.1
    Лицензия: CC-BY
    Тип: Проблемы безопасности
    Короткая ссылка: https://opennet.ru/28187-PostgreSQL
    Ключевые слова: PostgreSQL
    При перепечатке указание ссылки на opennet.ru обязательно
    Обсуждение (4) RSS
  • 1.1, PavelR (??), 23:49, 05/10/2010 [ответить]  
  • +4 +/
    Поддерживают семь релизных версий... Офигеть )
     
     
  • 2.2, denis111 (ok), 00:41, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Надо ж Oracle затыкать за пояс :)
     
  • 2.3, Aquarius (ok), 00:46, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    в них различия, наверное, сильно локализованы в различных подсистемах
     

  • 1.6, АнонимМ (?), 22:13, 06/10/2010 [ответить]  
  • +/
    PosgreSQL 7.4 фигасе, ещё живет. Лет 6-7 назад ставил 7.4.
    Приятная база данных.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру