Nhóm Phát triển Toàn cầu tỷ lệ kèo bóng đá đã phát hành bản cập nhật cho tất cả được hỗ trợ Các phiên bản của hệ thống cơ sở dữ liệu của chúng tôi, bao gồm 11,5, 10.10, 9.6.15, 9.5.19 và 9.4.24, cũng như bản beta thứ ba của tỷ lệ kèo bóng đá 12. Bản phát hành này sửa hai Các vấn đề bảo mật trong máy chủ tỷ lệ kèo bóng đá, hai vấn đề bảo mật được tìm thấy trong một trong những vấn đề Trình cài đặt Windows tỷ lệ kèo bóng đá và hơn 40 lỗi được báo cáo kể từ trước đó giải phóng.
Người dùng nên cài đặt tỷ lệ kèo bóng đá bản cập nhật này càng sớm càng tốt.
Theo tinh thần của cộng đồng tỷ lệ kèo bóng đá nguồn mở, chúng tôi rất khuyến khích bạn Để kiểm tra các tính năng mới của tỷ lệ kèo bóng đá 12 trong các hệ thống cơ sở dữ liệu của bạn để giúp chúng tôi Loại bỏ bất kỳ lỗi hoặc các vấn đề khác có thể tồn tại. Trong khi chúng tôi không khuyên bạn nên Chạy tỷ lệ kèo bóng đá 12 beta 3 trong môi trường sản xuất của bạn, chúng tôi khuyến khích bạn Tìm cách chạy khối lượng công việc ứng dụng điển hình của bạn so với bản phát hành beta này.
Kiểm tra và phản hồi của bạn sẽ giúp cộng đồng đảm bảo rằng tỷ lệ kèo bóng đá 12 Phát hành các tiêu chuẩn của chúng tôi về việc cung cấp một bản phát hành ổn định, đáng tin cậy của Cơ sở dữ liệu quan hệ nguồn mở tiên tiến nhất thế giới.
Bốn lỗ hổng bảo mật đã bị đóng cửa bởi bản phát tỷ lệ kèo bóng đá này:
loạiinPG_TEMPthực hiện SQL tùy ý trongbảo mật xác địnhthực thiPhiên bản bị ảnh hưởng: 9.4 - 11
Cho phù hợpbảo mật xác địnhHàm, kẻ tấn công có thể thực thi tùy ý
SQL dưới danh tính của chủ sở hữu chức năng. Một cuộc tấn công yêu cầuthực thiQuyền cho chức năng, bản thân phải chứa một cuộc gọi chức năng có
không chính xác loại đối số phù hợp. Ví dụ,length ('foo' :: varchar)vàlength ('foo')không chính xác, trong khilength ('foo' :: text)chính xác. Như một phần của
Khai thác lỗ hổng này, kẻ tấn công sử dụngTạo tên miềnĐể tạo a
Nhập vào APG_TEMPlược đồ. Mẫu tấn công và sửa chữa tương tự nhưCVE-2007-2138.
Viếtbảo mật xác địnhtỷ lệ kèo bóng đá chức năng tiếp tục yêu cầu
sau tỷ lệ kèo bóng đá cân nhắc được ghi nhận trong tài liệu:
Dự án tỷ lệ kèo bóng đá cảm ơn Tom Lane đã báo cáo vấn đề này.
Phiên bản bị ảnh hưởng: 11
Trong cơ sở dữ liệu chứa tỷ lệ kèo bóng đá toán tử bình đẳng băm giả định, do người dùng xác định Một kẻ tấn công có thể đọc tỷ lệ kèo bóng đá byte tùy ý của bộ nhớ máy chủ. Cho một cuộc tấn công để Trở nên có thể, một siêu nhân sẽ cần tạo ra tỷ lệ kèo bóng đá toán tử bất thường. Nó là Có thể cho tỷ lệ kèo bóng đá nhà khai thác không được chế tạo mục đích cho cuộc tấn công để có tỷ lệ kèo bóng đá thuộc tính điều đó cho phép một cuộc tấn công, nhưng chúng tôi không biết về tỷ lệ kèo bóng đá ví dụ cụ thể.
Dự án tỷ lệ kèo bóng đá cảm ơn Andreas Seltenreich vì đã báo cáo vấn đề này.
Phiên bản bị ảnh hưởng: Trình cài đặt Windows EnterpRedB cho tỷ lệ kèo bóng đá phiên bản 9.4 - 11
Trình cài đặt Windows EnterprisedB ghi mật khẩu vào một tệp tạm thời trong nó Thư mục cài đặt, tạo cơ sở dữ liệu ban đầu và xóa tệp. Trong lúc Những giây đó trong khi tập tin tồn tại, một kẻ tấn công cục bộ có thể đọc tỷ lệ kèo bóng đá Mật khẩu Superuser từ tệp.
Dự án tỷ lệ kèo bóng đá cảm ơn Noah Misch vì đã báo cáo vấn đề này.
Phiên bản bị ảnh hưởng: Trình cài đặt Windows EnterpRedB cho tỷ lệ kèo bóng đá phiên bản 9.4 - 11
Khi máy chủ cơ sở dữ liệu hoặc thư viện máy khách LibPQ khởi tạo SSL, LIBEAY32.DLL Cố gắng đọc cấu hình từ một thư mục được mã hóa cứng. Thông thường, thư mục không tồn tại, nhưng bất kỳ người dùng cục bộ nào cũng có thể tạo nó và tiêm cấu hình. Cấu hình này có thể chỉ đạo OpenSSL tải và thực thi Mã tùy ý khi người dùng chạy máy chủ hoặc máy khách tỷ lệ kèo bóng đá. Hầu hết Các công cụ và thư viện máy khách tỷ lệ kèo bóng đá sử dụng libpq và người ta có thể gặp phải điều này lỗ hổng bằng cách sử dụng bất kỳ trong số họ. Lỗ hổng này giống nhưCVE-2019-5443, nhưng nó có nguồn gốc độc lập. Người ta có thể làm việc xung quanh lỗ hổng bằng cách đặt môi trường Biến OpenSSL_Conf thành "nul: /openssl.cnf" hoặc bất kỳ tên nào khác không thể tồn tại dưới dạng tệp.
Dự án tỷ lệ kèo bóng đá cảm ơn Daniel Gustafsson của nhóm bảo mật Curl báo cáo vấn đề này.
Bản cập nhật này cũng sửa chữa hơn 40 lỗi đã được báo cáo trong vài lần cuối cùng tháng. Một số vấn đề này chỉ ảnh hưởng đến phiên bản 11, nhưng nhiều người ảnh hưởng đến tất cả tỷ lệ kèo bóng đá phiên bản được hỗ trợ.
Một số bản sửa lỗi này bao gồm:
Bảng thay đổi ... thay đổi loại cộtKhi nhiều loại cột là
sửa đổi trong một lệnh một lần. Vấn đề này đã được giới thiệu trong phần trước
Cập nhật tích lũy (11.4, 10,9, 9.6.14, 9.5.18, 9.4.23 và 12 beta 2).pg_upgrade.tồn tạiTruy vấn.-Infinity/Vô cựcĐiểm cuối để đảm bảo tỷ lệ kèo bóng đá vi phù hợp với tài liệu.tiềnGiá trị thànhSố.\ rTrở lại vận chuyển trong tỷ lệ kèo bóng đá tệp dịch vụ kết nối, trong đó
đã gây ra lỗi kết nối trong một số trường hợp cạnh.PSQL, bao gồm tránh hoàn thành tab không chính xác
Tùy chọn sauĐặt biến =.PREDT/AMCHECKS Xác minh chỉ mục.initDBĐể thích tỷ lệ kèo bóng đá vi múi giờ được xác định bởi thư viện C
của những gì được xác định bởiđịa phươnghoặcPosixrules. Điều này đảm bảo tỷ lệ kèo bóng đá sử dụng
Tên timezone "thực" thay vì tên nhân tạo.PG_DUMPĐể đảm bảo rằng tỷ lệ kèo bóng đá lớp toán tử tùy chỉnh được bỏ vào đúng
đặt hàng để ngăn chặn việc tạo ra một bãi rác không đáng tin cậy.PGBenchKhi sử dụng tùy chọn -r.Bản cập nhật này cũng chứa bản phát hành TZDATA 2019b cho các thay đổi về luật DST ở Brazil, cộng với sự điều chỉnh lịch sử cho Hồng Kông, Ý và Palestine. Bản cập nhật này Ngoài ra thêm hỗ trợ cho tùy chọn SLIM mới của ZIC để giảm kích thước của Các tệp vùng được cài đặt, mặc dù hiện tại nó không được tỷ lệ kèo bóng đá sử dụng.
Để biết thêm chi tiết, bạn có thể đọc bản sao đầy đủ của các ghi chú phát tỷ lệ kèo bóng đá tại đây:
Tất cả các bản phát hành cập nhật tỷ lệ kèo bóng đá đều được tích lũy. Cũng như các bản phát hành nhỏ khác,
Người dùng không bắt buộc phải đổ và tải lại cơ sở dữ liệu của họ hoặc sử dụngpg_upgradein
đặt hàng để áp dụng bản phát hành cập nhật này; Bạn chỉ có thể tắt tỷ lệ kèo bóng đá và
Cập nhật các nhị phân của nó.
Người dùng đã bỏ qua một hoặc nhiều bản phát tỷ lệ kèo bóng đá cập nhật có thể cần chạy bổ sung, Các bước cập nhật; Vui lòng xem các ghi chú phát tỷ lệ kèo bóng đá cho các phiên bản trước cho chi tiết.
tỷ lệ kèo bóng đá 9.4 sẽ ngừng nhận sửa vào ngày 13 tháng 2 năm 2020. Vui lòng xemChính sách phiên bảnĐể biết thêm thông tin.
Sự ổn định của mỗi bản phát hành tỷ lệ kèo bóng đá phụ thuộc rất nhiều vào bạn, cộng đồng, cộng đồng, Để kiểm tra phiên bản sắp tới với khối lượng công việc và công cụ kiểm tra của bạn để Tìm lỗi và hồi quy trước khi có sẵn chung của tỷ lệ kèo bóng đá 12. Như Đây là bản beta, thay đổi nhỏ đối với hành vi cơ sở dữ liệu, chi tiết tính năng và API vẫn có thể. Phản hồi và thử nghiệm của bạn sẽ giúp xác định trận chung kết Điều chỉnh về các tính năng mới, vì vậy xin vui lòng kiểm tra trong tương lai gần. Chất lượng của Kiểm tra người dùng giúp xác định khi nào chúng ta có thể phát hành cuối cùng.
Danh sáchtỷ lệ kèo bóng đá vấn đề mởcó sẵn công khai trong wiki tỷ lệ kèo bóng đá. Bạn có thểBáo cáo lỗiSử dụng biểu mẫu này trên Trang web tỷ lệ kèo bóng đá:
/tài khoản/subforbug/
Đây là bản phát hành beta thứ ba của phiên bản 12. Dự án tỷ lệ kèo bóng đá sẽ Phát hành các betas bổ sung theo yêu cầu để thử nghiệm, tiếp theo là một hoặc nhiều phát hành các ứng cử viên, cho đến khi phát hành cuối cùng vào cuối năm 2019. Để tiếp tục thông tin vui lòng xemkèo bóng đá c1:trang.