| Postgresql 9.5.25 문서 | |||
|---|---|---|---|
| 이전 | up | 부록 E. 토토 노트 | 다음 |
출시 날짜 : 2018-03-01
이 토토에는 9.5.11의 다양한 수정 사항이 포함되어 있습니다. 9.5 주요 토토의 새로운 기능에 대한 정보는 참조섹션 E.26.
9.5.x.를 실행하는 사람들에게는 덤프/복원이 필요하지 않습니다.
그러나 모든 사용자가 상호 신뢰하는 것은 아니거나 임의의 상황에서 사용하기위한 응용 프로그램 또는 확장을 유지하는 경우 아래의 첫 번째 ChangeLog 입구에 설명 된 문서 변경 사항을 읽고 설치 또는 코드를 안전하게 보장하는 것이 좋습니다..
또한 아래 두 번째 ChangeLog 항목에 설명 된 변경 사항은 인덱스 표현식 또는 구체화 된 뷰에 사용 된 기능이 자동 분석 중 또는 덤프에서 재 장전 될 때 실패 할 수 있습니다. 업그레이드 후 이러한 문제에 대한 서버 로그를 모니터링하고 영향을받는 기능을 수정하십시오.
또한 9.5.10 이전 버전에서 업그레이드하는 경우 참조섹션 E.16.
다른 사용자의 검색-경로 의존적 트로이 호스 공격을 방지하기 위해 설치 및 응용 프로그램을 구성하는 방법을 문서화하십시오 (Noah Misch)
a 사용search_path적대적인 사용자가 쓸 수있는 스키마를 포함하는 설정을 통해 해당 사용자는 쿼리 제어를 캡처 한 다음 공격 된 사용자의 권한으로 임의의 SQL 코드를 실행할 수 있습니다. 그러한 납치에 대한 증거 인 쿼리를 쓸 수는 있지만, 그것은 표명적으로 지루하며 구멍을 간과하기가 매우 쉽습니다.섹션 5.8.6(데이터베이스 관리자 및 사용자의 경우),섹션 31.1(응용 프로그램 저자),섹션 35.15.5(확장 저자) 및함수 만들기(의 저자 용보안 정의기함수). (CVE-2018-1058)
불안한 사용을 피하십시오search_path설정pg_dump및 기타 고객 프로그램 (Noah Misch, Tom Lane)
pg_dump, pg_upgrade, VACUUMDB및 기타PostgreSQL제공된 응용 프로그램 자체는 이전 ChangElog 항목에 설명 된 납치 유형에 취약했습니다. 이러한 응용 프로그램은 일반적으로 슈퍼업자에 의해 실행되므로 특히 매력적인 목표를 제시합니다.PG_CATALOG스키마search_path설정. Autovacuum 작업자 프로세스는 이제 동일하게 수행합니다.
이러한 프로그램에 의해 사용자 제공 기능이 간접적으로 실행되는 경우-예를 들어 인덱스 표현식의 사용자 제공 기능-더 엄격한search_path오류가 발생할 수 있습니다. 오류가 발생할 수 있으며, 이는 사용자가 제공 한 기능을 조정하여 수정해야합니다. 그것은 항상 좋은 연습 이었지만 이제는 올바른 행동을 위해 필요합니다.
Subplans (Tom Lane)에 CTE 참조가 나타나면 동시 업데이트의 오작동을 수정합니다.
CTE ( 인 경우with조항 참조)은 이니셜 또는 하위 플랜에 사용되며, 쿼리는 동시에 업데이트 된 행을 업데이트하거나 잠그려고 시도하여 다시 확인해야합니다..
OUTER 조인 (Tom Lane)에서 합병 조항이 겹치는 플래너 실패 수정
이 실수는로 이어졌습니다."왼쪽 및 오른쪽 Pathkeys는 Mergejoin에서 일치하지 않습니다"또는"외부 Pathkeys는 Mergeclauses와 일치하지 않습니다"코너 케이스의 플래너 오류.
수리pg_upgrade의 보존 실패relfrozenxid구체화 된보기 (Tom Lane, Andres Freund)
이 감독은 업그레이드 후 구체화 된 뷰에서 데이터 손상으로 이어질 수 있으며"거래 상태에 액세스 할 수 없음"또는"relfrozenxid 이전에서 xmin을 찾았습니다"오류. 문제는 거의 반동되는 구체화 된 관점에서 발생하거나로만 유지 된 견해에서 발생할 가능성이 더 높습니다.Refresh Restocized View 동시에.
그러한 부패가 관찰되면 구체화 된보기를 새로 고쳐서 수리 할 수 있습니다 (동시에).
오류의 PL/Python 함수 이름에 대한 잘못된보고 수정컨텍스트스택 (Tom Lane)
중첩 된 PL/Python 함수 호출 내에서 발생하는 오류 (즉, 다른 PL/Python 함수의 SPI 쿼리를 통해 도달)는 예상 결과가 아닌 내부 기능의 이름을 두 번 표시하는 스택 트레이스가 발생합니다. 또한 중첩 된 PL/Python의 오류do블록은 일부 플랫폼에서 널 포인터 피로 충돌을 초래할 수 있습니다.
허용Contrib/Auto_explain'slog_min_duration최대 범위의 설정int_max또는 35 분 대신 약 24 일 (Tom Lane)