प्रोहोस्टर > ब्लॉग > इंटरनेट समाचार > भेद्यता सुधार के साथ PostgreSQL अद्यतन। pg_ivm 1.0 रिलीज़

भेद्यता सुधार के साथ PostgreSQL अद्यतन। pg_ivm 1.0 रिलीज़

सभी समर्थित PostgreSQL शाखाओं के लिए सुधारात्मक अद्यतन तैयार किए गए हैं: 14.3, 13.7, 12.11, 11.16 और 10.22। 10.x शाखा समर्थन के अंत के करीब पहुंच रही है (नवंबर 2022 तक अपडेट उत्पन्न किए जाएंगे)। 11.x शाखा के लिए अपडेट जारी करना नवंबर 2023 तक, 12.x नवंबर 2024 तक, 13.x नवंबर 2025 तक, 14.x नवंबर 2026 तक चलेगा।

नए संस्करण 50 से अधिक सुधारों की पेशकश करते हैं और विशेषाधिकार प्राप्त संचालन ऑटोवैक्यूम, रीइंडेक्स, क्रिएट इंडेक्स, रिफ्रेश मैटेरियलाइज्ड व्यू, क्लस्टर और पीजी_एमचेक के निष्पादन के अलगाव को बायपास करने की क्षमता से जुड़ी भेद्यता सीवीई-2022-1552 को खत्म करते हैं। किसी भी भंडारण योजना में गैर-अस्थायी ऑब्जेक्ट बनाने के अधिकार वाला एक हमलावर रूट विशेषाधिकारों के साथ मनमाने ढंग से SQL फ़ंक्शन निष्पादित कर सकता है, जबकि एक विशेषाधिकार प्राप्त उपयोगकर्ता उपरोक्त ऑपरेशन कर रहा है जो हमलावर के ऑब्जेक्ट को प्रभावित करता है। विशेष रूप से, ऑटोवैक्यूम हैंडलर निष्पादित होने पर डेटाबेस की स्वचालित सफाई के दौरान भेद्यता का शोषण हो सकता है।

यदि अद्यतन संभव नहीं है, तो समस्या को रोकने का समाधान ऑटोवैक्यूम को अक्षम करना है और रूट उपयोगकर्ता के रूप में रीइंडेक्स, क्रिएट इंडेक्स, रीफ्रेश मैटेरियलाइज्ड व्यू और क्लस्टर संचालन नहीं करना है, और pg_amcheck को नहीं चलाना है या pg_dump द्वारा बनाए गए बैकअप से सामग्री को पुनर्स्थापित नहीं करना है। . VACUUM को निष्पादित करना किसी भी कमांड ऑपरेशन की तरह सुरक्षित माना जाता है, जब तक कि संसाधित की जा रही वस्तुओं का स्वामित्व विश्वसनीय उपयोगकर्ताओं के पास है।

नई रिलीज़ में अन्य परिवर्तनों में एलएलवीएम 14 के साथ काम करने के लिए जेआईटी कोड को अपडेट करना, psql, pg_dump और pg_amcheck उपयोगिताओं में डेटाबेस.स्कीमा.टेबल टेम्पलेट्स के उपयोग की अनुमति देना, उन समस्याओं को ठीक करना शामिल है जो एलट्री कॉलम पर जीआईएसटी इंडेक्स के भ्रष्टाचार का कारण बनती हैं, गलत अंतराल डेटा से निकाले गए प्रारूप युग में मानों की गोलाई, एसिंक्रोनस रिमोट क्वेरी का उपयोग करते समय गलत शेड्यूलर ऑपरेशन, अभिव्यक्ति-आधारित कुंजी के साथ इंडेक्स पर क्लस्टर अभिव्यक्ति का उपयोग करते समय तालिका पंक्तियों की गलत सॉर्टिंग, तुरंत बाद असामान्य समाप्ति के कारण डेटा हानि GiST सॉर्ट किए गए इंडेक्स का निर्माण, विलोपन विभाजन सूचकांक के दौरान गतिरोध, ड्रॉप टेबलस्पेस ऑपरेशन और चेकपॉइंट के बीच दौड़ की स्थिति।

इसके अतिरिक्त, हम PostgreSQL 1.0 के लिए IVM (इंक्रीमेंटल व्यू मेंटेनेंस) समर्थन के कार्यान्वयन के साथ pg_ivm 14 एक्सटेंशन की रिलीज़ को नोट कर सकते हैं। IVM भौतिक दृश्यों को अपडेट करने का एक वैकल्पिक तरीका प्रदान करता है, यदि परिवर्तन दृश्य के एक छोटे से हिस्से को प्रभावित करते हैं तो यह अधिक प्रभावी होता है। आईवीएम रीफ्रेश मैटेरियलाइज्ड व्यू ऑपरेशन का उपयोग करके दृश्य की पुनर्गणना किए बिना, केवल वृद्धिशील परिवर्तनों के साथ भौतिक दृश्यों को तुरंत ताज़ा करने की अनुमति देता है।

स्रोत: opennet.ru

एक टिप्पणी जोड़ें