9.3 9.4 9.5 9.6 10 11 12 13
阿里云PostgreSQL 问题报告 纠错本页面

E.190. 版本 8.0.3

发布日期: 2005-05-09

这个版本包含各种自8.0.2以来的修复,包括几个安全相关的问题。 关于8.0主版本的新特性信息,请参阅第 E.193 节

E.190.1. 迁移到版本 8.0.3

运行8.0.X的用户不需要转储/恢复。不过, 它是一个处理在8.0.X系统目录的初始内容中找到的两个重要安全问题的可能的方式。 使用8.0.3的initdb的dump/initdb/reload序列将自动纠正这些问题。

较大的安全问题是内建字符设置编码转换函数可以通过未授权的用户从SQL命令中调用, 但是该函数不是设计来这样使用的,并且恶意选择参数时时不安全的。 该修复包括修改这些函数声明的参数列表,这样他们可以不再从SQL命令中调用。 (这不影响他们通过编码转换机制的正常使用。)

较小的问题是contrib/tsearch2模块创建了几个错误的声明为返回 internal的函数,而他们并不接受internal参数。 这破坏了所有使用internal参数的函数的类型安全。

强烈建议所有安装修复这些错误,通过initdb或通过遵循下面给出的手动修复程序。 该错误至少允许未授权的数据库用户崩溃他们的服务器进程, 并且可能允许未授权的用户获得数据库超级用户的权限。

如果你不希望initdb,执行7.4.8版本声明 中相同的手动修复程序。

E.190.2. 修改列表

<
/BODY >