| Postgresql 8.1.23 Tài liệu | ||||
|---|---|---|---|---|
| prev | Backward nhanh | Phụ lục E. kèo bóng đá c1 ghi chú | Chuyển tiếp nhanh | NEXT |
Ngày kèo bóng đá c1: 2008-01-07
Bản kèo bóng đá c1 này chứa nhiều bản sửa lỗi từ 7.3.20, bao gồm các bản sửa lỗi cho các vấn đề bảo mật quan trọng.
đây được dự kiến là lần cuốiPostgreSQLkèo bóng đá c1 trong sê -ri 7.3.x. Người dùng được khuyến khích cập nhật cho một nhánh kèo bóng đá c1 mới hơn sớm.
Không cần phải có kết xuất/khôi phục cho những người chạy 7.3.x. Tuy nhiên, nếu bạn đang nâng cấp từ một phiên bản sớm hơn 7.3.13, Xem Ghi chú kèo bóng đá c1 cho 7.3.13.
Ngăn các chức năng trong các chỉ mục thực thi với Đặc quyền của người dùng đang chạyVACUUM, Phân tích,, vv (tom)
Các chức năng được sử dụng trong các biểu thức chỉ mục và chỉ số một phần Các vị từ được đánh giá bất cứ khi nào một mục nhập bảng mới làm ra. Nó đã được hiểu từ lâu rằng điều này có nguy cơ Trojan-Horse Code action nếu một người sửa đổi một bảng được sở hữu bởi một người dùng không đáng tin cậy. (Lưu ý rằng các kích hoạt, mặc định, kiểm tra các ràng buộc, v.v. đặt ra cùng một loại rủi ro.) Nhưng các chức năng trong các chỉ mục gây nguy hiểm thêm vì chúng sẽ được thực hiện bởi các hoạt động bảo trì thường xuyên nhưNút không đầy đủ, thông thường thực hiện tự động trong một tài khoản Superuser. Vì Ví dụ, người dùng bất chính có thể thực thi mã với SuperUser Đặc quyền bằng cách thiết lập định nghĩa chỉ số Trojan-Horse và chờ đợi khoảng trống thường xuyên tiếp theo. Việc sửa chữa sắp xếp Đối với các hoạt động bảo trì tiêu chuẩn (bao gồmVACUUM, Phân tích, Reindexvàcụm) để thực thi với tư cách là chủ sở hữu bảng thay vì người dùng gọi, sử dụng cùng một cơ chế chuyển đổi đặc quyền đã được sử dụng chobảo mật xác địnhchức năng. Để ngăn chặn Bỏ qua biện pháp bảo mật này, thực hiệnĐặt ủy quyền phiênvàĐặt vai tròhiện bị cấm trong mộtbảo mật xác địnhBối cảnh. (CVE-2007-6600)
Yêu cầu những người không giám sát sử dụng/PRINT/DBLINKChỉ sử dụng mật khẩu Xác thực, như một biện pháp bảo mật (Joe)
kèo bóng đá c1 sửa lỗi xuất hiện cho điều này trong 7.3.20 không đầy đủ, khi nó cắm lỗ chỉ cho một sốdblinkchức năng. (CVE-2007-6601, CVE-2007-3278)
Khắc phục sự cố tiềm năng trongdịch ()10336_10393
làmPRINT/TABLEFUNC'scrosstab ()10530_10625
Yêu cầu một phiên kèo bóng đá c1 cụ thể củaAutoConfĐược sử dụng khi tạo lại TheCấu hìnhScript (Peter)
Điều này chỉ ảnh hưởng đến các nhà kèo bóng đá c1 triển và nhà đóng gói. Sự thay đổi đã được thực hiện để ngăn chặn việc sử dụng tình cờ các kết hợp chưa được kiểm tra củaAutoConfvàPostgreSQLPhiên kèo bóng đá c1. Bạn có thể xóa kiểm tra phiên kèo bóng đá c1 nếu bạn thực sự muốn sử dụng khác biệtAutoConfPhiên kèo bóng đá c1, nhưng đó là trách nhiệm của bạn cho dù kết quả hoạt động hay không.