内容简介:PostgreSQL 于近日为受支持的各个版本发布了更新,其中包括 PostgreSQL 11.5, 10.10, 9.6.15, 9.5.19, 9.4.24 和 12 Beta 3,该版本修复了 PostgreSQL 服务器中的两个安全问题,一个 PostgreSQL Windows 安装程序...
PostgreSQL 于近日为受支持的各个版本发布了更新,其中包括 PostgreSQL 11.5, 10.10, 9.6.15, 9.5.19, 9.4.24 和 12 Beta 3,该版本修复了 PostgreSQL 服务器中的两个安全问题,一个 PostgreSQL Windows 安装程序中发现的两个安全问题,以及自上次发布以来报告的 40 多个 bug。
安全问题
这个版本已经关闭了四个安全漏洞:
-
CVE-2019-10208:pg_temp 上的 type 在
SECURITY DEFINER执行期间执行任意 SQL
受影响版本:9.4 - 11
给定合适的 SECURITY DEFINER 函数,攻击者可以在函数所有者的身份下执行任意 SQL。攻击需要对函数 EXECUTE 权限,函数本身必须包含不精确的参数类型匹配的函数调用。例如,length('foo'::varchar) 和 length('foo') 是不精确的,而 length('foo'::text) 是精确的。
-
CVE-2019-10209:散列子计划跨类型比较中的内存泄漏
受影响版本:11
在包含假设的、用户定义的哈希相等操作符的数据库中,攻击者可以读取任意字节的服务器内存。
-
CVE-2019-10210:EnterpriseDB Windows 安装程序将 PostgreSQL 超级用户密码写入未受保护的临时文件
受影响版本:9.4-11 版本的 EnterpriseDB Windows 安装程序
EnterpriseDB Windows 安装程序将密码写入其安装目录中的临时文件,创建初始数据库并删除该文件。在这个时间内,当文件存在时,本地攻击者可以从文件中读取 PostgreSQL 超级用户密码。
-
CVE-2019-10211:EnterpriseDB Windows 安装程序从不受保护的目录执行代码
受影响版本:9.4-11 版本的 EnterpriseDB Windows 安装程序
当数据库服务器或 libpq 客户端库初始化 SSL 时,libeay32.dll 从硬编码目录读取配置。虽然目录不存在,但是任何本地用户都可以创建目录并注入配置。此配置可以指示 OpenSSL 在运行 PostgreSQL 服务器或客户端时加载和执行任意代码。大多数 PostgreSQL 客户端 工具 和库都使用 libpq,通过使用它们中的任何一个都可以遇到此漏洞。
另外,PostgreSQL 9.4 将于 2020 年 2 月 13 日停止接收修复程序。
还包括其他的 bug 修复,详情见:
https://www.postgresql.org/about/news/1960/
下载地址:
https://www.postgresql.org/download/
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- NPM包(模块)发布、更新、撤销发布
- 有赞灰度发布与蓝绿发布实践
- 【重磅发布】Linkis 0.10.0 版本发布
- BeetlSQL 3.0.9 发布,Idea 插件发布
- 贝密游戏 0.7.0 发布,发布斗地主
- 【重磅发布】DataSphere Studio 0.9.0 版本发布
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
函数式算法设计珠玑
Richard Bird / 苏统华、孙芳媛、郝文超、徐琴 / 机械工业出版社 / 2017-4-1 / 69.00
本书采用完全崭新的方式介绍算法设计。全书由30个珠玑构成,每个珠玑单独列为一章,用于解决一个特定编程问题。这些问题的出处五花八门,有的来自游戏或拼图,有的是有趣的组合任务,还有的是散落于数据压缩及字串匹配等领域的更为熟悉的算法。每个珠玑以使用函数式编程语言Haskell对问题进行描述作为开始,每个解答均是诉诸于函数式编程法则从问题表述中计算得到。本书适用于那些喜欢学习算法设计思想的函数式编程人员、......一起来看看 《函数式算法设计珠玑》 这本书的介绍吧!
