今天,PostgreSQL 全球開發團隊發布了更新版本,修補了五個安全性漏洞。這些版本更新了所有目前的 PostgreSQL 版本,包含 8.2、8.1、8.0、7.4 和 7.3。這些被視為重大更新,PostgreSQL DBA 和系統管理員應盡快安裝此更新。我們的安全性團隊已盡一切努力使這些修補程式向後相容,並且升級不需要轉換您的資料檔案。
請閱讀此訊息的其餘部分以了解更多重要細節和公告。
此版本包含五個安全性修復。已知這些問題都沒有在實際環境中被利用;它們是透過安全性分析發現的。
索引函數權限提升 (CVE-2007-6600):作為一項獨特功能,PostgreSQL 允許使用者在使用者定義函數的結果上建立索引,稱為「表達式索引」。這提供了兩個權限提升漏洞: (1) 索引函數在 VACUUM 和 ANALYZE 期間以超級使用者身分執行,而不是以資料表擁有者身分執行,並且 (2) 允許在索引函數中使用 SET ROLE 和 SET SESSION AUTHORIZATION。 現在,這兩個漏洞都已修補。
正規表示式阻斷服務 (CVE-2007-4772, CVE-2007-6067, CVE-2007-4769):PostgreSQL 使用的正規表示式程式庫中的三個獨立問題允許惡意使用者透過在 SQL 查詢中傳遞某些正規表示式來發起阻斷服務攻擊。首先,使用者可以使用一些特定的正規表示式建立無限迴圈。其次,某些複雜的正規表示式可能會消耗過多的記憶體。第三,可以使用超出範圍的反向引用編號來導致後端崩潰。所有這些問題都已修補。
DBLink 權限提升 (CVE-2007-6601):惡意使用者可以結合 DBLink 函數與本機信任或 ident 驗證來取得超級使用者權限。此問題已修復,並且不會影響未安裝 DBLink(一個可選模組)或使用密碼驗證進行本機存取的使用者。 上一個版本週期中已解決相同的問題 (請參閱 CVE-2007-3278),但該修補程式未能關閉漏洞的所有形式。
PostgreSQL 7.3 版本的 7.3.21 次要版本將是 7.3 分支的最後一次更新。由於 7.3 版本已經超過五年,社群將在今天的版本發布後不再發布修補程式。 鼓勵 7.3 版本的使用者盡快升級到更新的版本,或尋求願意繼續為他們進行反向移植的商業支援供應商的支援。
8.1.11 和 8.0.15 也是 PostgreSQL 社群將為 Windows 生產二進位檔案的最後一次 8.1 和 8.0 更新版本。 鼓勵 Windows 使用者遷移到 8.2.6 或更高版本,因為 8.2 中存在特定於 Windows 的修復程式,並且不切實際地進行反向移植。 8.1 和 8.0 更新將繼續在其他平台上和以原始碼形式提供支援。
PostgreSQL 次要版本 8.2.6、8.1.11、8.0.15、7.4.19 和 7.3.21 可透過我們的 FTP 鏡像網路取得
如果您需要有關包含更新的其他資訊,可以在我們的 發布說明 中找到。 這些升級可以直接複製到現有的 PostgreSQL 二進位檔案上,並且對於過去六個月內已更新的任何系統,不需要進行 dump-and-reload (較舊的版本可能需要一些特定的後更新步驟;請參閱發布說明)。
與往常一樣,PostgreSQL 更新版本是累積性的。所有安全性修復都將包含在即將推出的 8.3 版本候選版本中。此通知將發布到 PostgreSQL 安全性頁面。
-- PostgreSQL 全球開發團隊
這篇文章已從 PostgreSQL 網站的先前版本遷移。對於遷移造成的任何格式問題,我們深感抱歉。