PostgreSQL-Update zur Behebung einer Sicherheitsanfälligkeit. Veröffentlichung von pg_ivm 1.0

Korrekturupdates wurden für alle unterstützten PostgreSQL-Versionen erstellt: 14.3, 13.7, 12.11, 11.16 und 10.22. Die Version 10.x nähert sich dem Ende ihrer Unterstützung (Updates werden bis November 2022 bereitgestellt). Updates für die Version 11.x werden bis November 2023 fortgesetzt, die Version 12.x bis November 2024, die Version 13.x bis November 2025 und die Version 14.x bis November 2026.

In den neuen Versionen wurden mehr als 50 Fehlerbehebungen vorgeschlagen, und die Sicherheitsanfälligkeit CVE-2022-1552, die das Umgehen der Ausführungsisolierung bei privilegierten Operationen wie Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER und pg_amcheck betrifft, wurde behoben. Ein Angreifer, der Berechtigungen zum Erstellen nicht temporärer Objekte in einem beliebigen Schemas hat, könnte die Ausführung beliebiger SQL-Funktionen mit Superuser-Rechten während der Durchführung der oben genannten Operationen durch einen privilegierten Benutzer erzwingen, die das Objekt des Angreifers betreffen. Auch eine Ausnutzung der Sicherheitsanfälligkeit könnte während der automatischen Bereinigung der Datenbank beim Ausführen des Autovacuum-Handlers erfolgen.

Wenn ein Upgrade nicht möglich ist, kann als Umgehung der Problematik autovacuum deaktiviert werden. Zudem sollten privilegierte Benutzer Operationen wie REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW und CLUSTER vermeiden, sowie das Dienstprogramm pg_amcheck nicht ausführen und keine Inhalte aus Backups, die mit dem Dienstprogramm pg_dump erstellt wurden, wiederherstellen. Das Ausführen von VACUUM wird als sicher erachtet, ebenso wie die Anwendung sämtlicher Operationen, solange die betroffenen Objekte den vertrauenswürdigen Benutzern zugeordnet sind.

Weitere Änderungen in den neuen Versionen umfassen die Aktualisierung des JIT-Codes zur Unterstützung von LLVM 14, die Erlaubnis zur Verwendung von Vorlagen wie database.schema.table in den psql-, pg_dump- und pg_amcheck-Dienstprogrammen, die Behebung von Problemen, die zu einer Beschädigung von GiST-Indizes über ltree-Spalten führten, falsche Rundung von Werten im Epoch-Format, die aus Daten mit dem Typ interval extrahiert wurden, Fehlfunktionen des Planers bei der Verwendung von asynchronen Remote-Abfragen, falsche Sortierung von Tabellenspalten bei der Anwendung des CLUSTER-Ausdrucks auf Indizes mit Ausdrucksschlüsseln, Datenverlust bei einem Absturz unmittelbar nach dem Aufbau eines sortierten GiST-Indexes, gegenseitige Sperrung beim Löschen eines partitionierten Index sowie ein Wettlauf zwischen der DROP TABLESPACE-Operation und dem Zustandsspeicher (Checkpoint).

Zusätzlich wurde das pg_ivm 1.0-Plugin veröffentlicht, das die Unterstützung von IVM (Incremental View Maintenance) für PostgreSQL 14 implementiert. IVM bietet eine alternative Methode zur Aktualisierung von materialisierten Sichten, die effizienter ist, wenn Änderungen nur einen kleinen Teil der Sicht betreffen. Damit können materialisierte Sichten sofort aktualisiert werden, indem nur inkrementelle Änderungen angewendet werden, ohne die Sicht erneut berechnen zu müssen, was bei der Verwendung der Operation 'REFRESH MATERIALIZED VIEW' erforderlich ist.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster