聚合全网技术文章,根据你的阅读喜好进行个性推荐
PostgreSQL 全球开发组针对当前所有被支持版本发布了一次更新,版本包括:14.5、13.8、12.12、11.17 和 10.22,以及 PostgreSQL 15 的第三个 beta 版本。此版本关闭了一个安全漏洞并修复了过去三个月报告的 40 多个错误。
PostgreSQL 10 将于 2022 年 11 月 10 日停止接收修复。对于在生产环境中运行 PostgreSQL 10 的用户,官方强烈建议升级到更新的、受支持的 PostgreSQL 版本,以便可以继续接收错误和安全修复。可参阅版本控制政策以获取更多信息。
CVE-2022-2625:扩展脚本替换不属于扩展的对象
受影响的版本:10 - 14。安全团队通常不会测试不受支持的版本,但这是一个相当古老的问题。
一些扩展使用CREATE OR REPLACE或CREATE IF NOT EXISTS命令。但是,有些人不遵守 documented rule,只针对已知为扩展成员的对象。攻击需要在至少一个模式中创建非临时对象的权限,能够诱使或等待管理员在该模式中创建或更新受影响的扩展,以及诱使或等待受害者使用CREATE OR REPLACE或CREATE IF NOT EXISTS中的 object targeted。
CREATE OR REPLACE
CREATE IF NOT EXISTS
鉴于所有三个先决条件,攻击者可以作为受害者角色(可能是超级用户)运行任意代码。已知受影响的扩展包括 PostgreSQL 捆绑和非捆绑扩展。PostgreSQL 在核心服务器中阻止了这种攻击,因此无需修改单个扩展。
此版本标志着 PostgreSQL 15 的第三个 beta 版本,并使社区在第三季度末左右暂时向一般可用性迈进了一步。
本着开源 PostgreSQL 社区的精神,官方强烈建议用户在系统上测试 PostgreSQL 15 的新功能,以帮助消除可能存在的错误或其他问题。虽然不建议在生产环境中运行 PostgreSQL 15 Beta 3,但鼓励找到针对此 Beta 版本运行典型应用程序工作负载的方法。
此更新修复了过去几个月报告的 40 多个错误。下面列出的问题会影响 PostgreSQL 14,其中一些问题也可能会影响其他受支持的 PostgreSQL 版本:
CREATE DATABASE
CREATE INDEX
ALTER TABLE ... ENABLE/DISABLE TRIGGER
ROW()
FROM
SPI_commit()
pg_upgrade
anyarray
postgres_fdw
WITH CHECK OPTION
有关可用更改的完整列表,可查看 发行说明。
下载地址:https://www.postgresql.org/download/
评论删除后,数据将无法恢复
PostgreSQL 14.5、13.8、12.12、11.17、10.22 和 15 Beta 3 发布
PostgreSQL 全球开发组针对当前所有被支持版本发布了一次更新,版本包括:14.5、13.8、12.12、11.17 和 10.22,以及 PostgreSQL 15 的第三个 beta 版本。此版本关闭了一个安全漏洞并修复了过去三个月报告的 40 多个错误。
PostgreSQL 10 EOL Upcoming
PostgreSQL 10 将于 2022 年 11 月 10 日停止接收修复。对于在生产环境中运行 PostgreSQL 10 的用户,官方强烈建议升级到更新的、受支持的 PostgreSQL 版本,以便可以继续接收错误和安全修复。可参阅版本控制政策以获取更多信息。
安全问题
CVE-2022-2625:扩展脚本替换不属于扩展的对象
受影响的版本:10 - 14。安全团队通常不会测试不受支持的版本,但这是一个相当古老的问题。
一些扩展使用
CREATE OR REPLACE或CREATE IF NOT EXISTS命令。但是,有些人不遵守 documented rule,只针对已知为扩展成员的对象。攻击需要在至少一个模式中创建非临时对象的权限,能够诱使或等待管理员在该模式中创建或更新受影响的扩展,以及诱使或等待受害者使用CREATE OR REPLACE或CREATE IF NOT EXISTS中的 object targeted。鉴于所有三个先决条件,攻击者可以作为受害者角色(可能是超级用户)运行任意代码。已知受影响的扩展包括 PostgreSQL 捆绑和非捆绑扩展。PostgreSQL 在核心服务器中阻止了这种攻击,因此无需修改单个扩展。
关于 PostgreSQL 15 Beta 的说明
此版本标志着 PostgreSQL 15 的第三个 beta 版本,并使社区在第三季度末左右暂时向一般可用性迈进了一步。
本着开源 PostgreSQL 社区的精神,官方强烈建议用户在系统上测试 PostgreSQL 15 的新功能,以帮助消除可能存在的错误或其他问题。虽然不建议在生产环境中运行 PostgreSQL 15 Beta 3,但鼓励找到针对此 Beta 版本运行典型应用程序工作负载的方法。
错误修复和改进
此更新修复了过去几个月报告的 40 多个错误。下面列出的问题会影响 PostgreSQL 14,其中一些问题也可能会影响其他受支持的 PostgreSQL 版本:
CREATE DATABASEwrite-ahead log (WAL) 的问题 。CREATE INDEX中的权限检查以使用用户的权限。这修复了依赖于修复 CVE-2022-1552 之前的行为的损坏转储/恢复场景。ALTER TABLE ... ENABLE/DISABLE TRIGGER以处理分区表上触发器的递归。ROW()的表达式和FROM中超过 1600 列的函数。SPI_commit()中清理 commit-time errors,而不是期望 callers 这样做。这包括对 PL/Python 中相同场景的修复,该场景报告了 Python 3.11 的崩溃和旧版本的 Python 3 的内存泄漏。pg_upgrade以检测接受anyarray参数的函数的 non-upgradable usages。postgres_fdw修复,包括在存在WITH CHECK OPTION约束时防止批量插入。有关可用更改的完整列表,可查看 发行说明。
下载地址:https://www.postgresql.org/download/