サポートされているすべての PostgreSQL ブランチ (14.3、13.7、12.11、11.16、および 10.22) に対して修正更新が生成されました。 10.x ブランチはサポート終了に近づいています (更新は 2022 年 11 月まで生成されます)。 2023.x ブランチのアップデートのリリースは 12 年 2024 月まで、13.x は 2025 年 14 月まで、2026.x は XNUMX 年 XNUMX 月まで、XNUMX.x は XNUMX 年 XNUMX 月まで続きます。
新しいバージョンでは 50 を超える修正が提供され、特権操作 Autovacuum、REINDEX、CREATE INDEX、REFRESH MATERIALIZED VIEW、CLUSTER、および pg_amcheck の実行の分離をバイパスする機能に関連する脆弱性 CVE-2022-1552 が解消されます。 任意のストレージ スキームで非一時オブジェクトを作成する権限を持つ攻撃者は、特権ユーザーが攻撃者のオブジェクトに影響を与える上記の操作を実行している間に、root 権限で任意の SQL 関数を実行させる可能性があります。 特に、自動バキューム ハンドラーの実行時にデータベースが自動的にクリーニングされる際に、この脆弱性が悪用される可能性があります。
更新できない場合、問題をブロックする回避策は、自動バキュームを無効にし、root ユーザーとして REINDEX、CREATE INDEX、REFRESH MATERIALIZED VIEW、および CLUSTER 操作を実行せず、pg_amcheck を実行したり、pg_dump によって作成されたバックアップからコンテンツを復元したりしないことです。 。 VACUUM の実行は、処理されるオブジェクトが信頼できるユーザーによって所有されている限り、他のコマンド操作と同様に安全であるとみなされます。
新しいリリースのその他の変更には、LLVM 14 で動作するように JIT コードを更新すること、psql、pg_dump、および pg_amcheck ユーティリティでの database.schema.table テンプレートの使用を許可すること、ltree 列上の GiST インデックスの破損につながる問題の修正、正しくないことなどが含まれます。間隔データから抽出されたエポック形式の値の丸め、非同期リモート クエリを使用する場合の誤ったスケジューラ動作、式ベースのキーを持つインデックスで CLUSTER 式を使用する場合のテーブル行の誤った並べ替え、直後の異常終了によるデータ損失GiST ソート済みインデックスの構築、パーティション化インデックスの削除中のデッドロック、DROP TABLESPACE 操作とチェックポイントの間の競合状態。
さらに、PostgreSQL 1.0 の IVM (増分ビュー メンテナンス) サポートの実装を伴う pg_ivm 14 拡張機能のリリースにも注目してください。IVM は、マテリアライズド ビューを更新する代替方法を提供します。これは、変更がビューの一部に影響する場合により効果的です。 IVM を使用すると、REFRESH MATERIALIZED VIEW 操作を使用してビューを再計算することなく、増分変更のみでマテリアライズド ビューを即座にリフレッシュできます。
出所: オープンネット.ru