阅读更多

4顶
0踩

数据库

原创新闻 PostgreSQL安全更新,请立即升级

2013-04-07 11:25 by 副主编 wangguo 评论(4) 有6740人浏览
上周,PostgreSQL官方声称在所有PostgreSQL版本中发现了严重的安全漏洞,并锁定了代码库。

按照既定计划,PostgreSQL官方在4月4日放出了修复版本——9.2.4、9.1.9、9.0.13和8.4.17,强烈建议所有用户立即升级至这些版本。


这些版本主要修复的高危安全漏洞:

  • CVE-2013-1899如果攻击者在连接请求中包含以“-”开头的数据库名称,则可能会破坏服务器数据目录中的文件。任何可访问PostgreSQL服务器监听端口的用户均可以启动这一请求。
此外,新版本还修复了2处较小的安全漏洞以及Linux和Mac OS X图形化安装程序中的2处漏洞:

  • CVE-2013-1900:由contrib / pgcrypto函数所产生的随机数可能会被其他数据库用户很容易猜测到
  • CVE-2013-1901:允许非特权用户运行可能会干扰备份进程的命令。
  • CVE-2013-1903:不安全地将超级用户密码传递到一个脚本中。
  • CVE-2013-1902:可在/tmp中使用可预测的文件名
详细信息:http://www.postgresql.org/about/news/1456/

下载地址:http://www.postgresql.org/download/
4
0
评论 共 4 条 请登录后发表评论
4 楼 jsf008 2013-04-09 16:07
我用着还不错。
3 楼 yeaha 2013-04-08 11:11
luckyjackgao 写道
我维护PostgreSQL数据库,回答客户一年多了。

告诉您一个最大秘密:为何PostgreSQL不行。

只说两件事:
一:不适合7天24小时严苛的商业环境。
    如果应用一直在跑,你是没有办法对某个数据库表 进行
    create index 或者reindex 或 drop index 的。
    即使加了 concurrrently 参数也不行
  
   (它只是为了一旦开始建立/删除index时候,
    可以不干扰其他DML操作,而不是相反)。
  
    对index的创建和删除,需要排他锁!
    如果无法获得排他锁,则只能等待。
    甚至有时会一直默默等待不相关的其他表的事务结束

二:严重缺乏内生性的集群解决方案。
   客户没有办法,都是靠第三方软件,如 pgpool-II ,slony
   pgool-II 和 slony,都多次出现严重内存泄漏,已经被其开发者所证实。
   比如大量运算下,每一小时运行,内存耗费增长1G神马的。

其实,这个东东,严重为少数学术界的学霸所把持,作商业数据库,它还没准备好,还不合适!
   


index这个问题,可能的确在某些场合下是个比较严重的问题
内生性的集群解决方案嘛,hot standby您用过没?

是有这样那样的问题,不过一想到没收我钱,还免费给我用,每一两年就改进一大堆功能,我就觉得其实还好了,至少在我这里没让我失望

其实商业数据库/商业应用什么的,是有点唬人,不过找个oracle dba,听他吐吐槽,就觉得都还好了
2 楼 luckyjackgao 2013-04-08 09:50
我维护PostgreSQL数据库,回答客户一年多了。

告诉您一个最大秘密:为何PostgreSQL不行。

只说两件事:
一:不适合7天24小时严苛的商业环境。
    如果应用一直在跑,你是没有办法对某个数据库表 进行
    create index 或者reindex 或 drop index 的。
    即使加了 concurrrently 参数也不行
  
   (它只是为了一旦开始建立/删除index时候,
    可以不干扰其他DML操作,而不是相反)。
  
    对index的创建和删除,需要排他锁!
    如果无法获得排他锁,则只能等待。
    甚至有时会一直默默等待不相关的其他表的事务结束

二:严重缺乏内生性的集群解决方案。
   客户没有办法,都是靠第三方软件,如 pgpool-II ,slony
   pgool-II 和 slony,都多次出现严重内存泄漏,已经被其开发者所证实。
   比如大量运算下,每一小时运行,内存耗费增长1G神马的。

其实,这个东东,严重为少数学术界的学霸所把持,作商业数据库,它还没准备好,还不合适!
   
1 楼 H_eaven 2013-04-07 12:26
看来PostgreSQL的应用不是很多啊,

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • PostgreSQL安全基线

    PostgreSQL安全基线 访问控制 1.中危-确保通过“主机” TCP / IP套接字登录已正确配置 描述: 大量的身份验证方法可用于使用 TCP / IP套接字,包括: ?信任 、? 拒绝、?md5、?scram-sha-256、?密码、?gss、?sspi、?...

  • RDS PostgreSQL一键大版本升级技术解密

    四、PostgreSQL版本升级成果一、PostgreSQL行业位置(一)行业位置在讨论PostgreSQL(下面简称为PG)在整个数据库行业的位置之前,我们先看一下阿里云数据库在全球的数据库行业里的位置。魔力象限领导者*Gartner ...

  • postgresql、mysql自己整理txt的一些小知识(持续更新)

    自己随便整理了一些数据库git之类的一些小知识,持续更新中 原文件是记录在txt中,可能有些不大好看 which python #liunx 数据库系统 OLTP 主要是业务操作数据库,工作简单只需要简单的事务能力就行,用户数量为...

  • 【postgresql 数据库运维文档】

    postgresqlt运维文档、postgresql巡检、postgresql规范

  • 可以减税 PCA 什么是PostgreSQL

    可以减税 PCA 什么是PostgreSQL 附思维导图

  • postgresql|数据库|centos7下基于postgresql-12的主从复制的pgpool-4.4的部署和使用

    postgresql数据库只用自身的一些配置是无法做到最优的优化的,需要通过一些外置插件(中间件)来提高服务器的整体性能,通俗的说就是数据库仅仅依靠自身是无法达到性能最优的,很多时候需要更改数据库的整体架构,...

  • 在Kubernetes上部署和管理PostgreSQL

    目录 有哪些选项可用于部署PostgreSQL?...升级Helm Charts 删除Helm Chart 结论 PostgreSQL数据库是一个企业级、开源的对象关系数据库系统,专注于提供一个高度可扩展和健壮的平台,同时符合SQ

  • PostgreSql 数据库备份和恢复 (Backup and Restore)

    如果您在生产环境中使用 PostgreSQL,请务必采取预防措施以确保用户的数据不会丢失。通过频繁备份数据库或使用 cron 任务自动执行备份,您将能够在数据库丢失或损坏的情况下快速还原系统。

  • 【PG主从】PostgreSQL13主从流复制部署(详细可用)

    虽然客户端认证允许细粒度地控制谁能访问服务器,listen_addresses控制哪些接口接受连接尝试,这能帮助在不安全网络接口上阻止重复的恶意连接请求。这个参数只能在服务器启动时设置。 wal_level (enum) wal_level...

  • Centos7部署PostgreSQL 12集群(主备)

    Centos7部署PostgreSQL 12集群(主备) 关于备份模式 常规的备份模式有三种:热备、冷备和双活。 热备:仅主节点承担用户的业务、提供数据库服务,在不关闭数据库服务(不停服)的情况下对主节点进行备份。 为了...

  • 推出适用于 PostgreSQL 的 Trusted Language Extensions

    PostgreSQL 凭借其面向开发者的可扩展设计,已成为许多企业和初创企业首选的开源关系数据库。开发人员使用 PostgreSQL 的原因之一是,通过使用自己喜欢的编程语言,他们可以构建扩展来添加数据库功能。首选的开源...

  • 【PostgreSQL高可用之Repmgr和Patroni部分场景对比】

    PostgreSQL数据库有着各种各样的高可用方案,绝大多数,都是基于流复制机制实现的,常见的例如Patroni+DCS,Pacemaker+Corosync,Repmgr,keepalived,pg_auto_failover,PGpool等等,其中使用较多的应该是Patroni和...

  • PostgreSQL 13.4, 12.8, 11.13, 10.18, 9.6.23, and 14 Beta 3发布了

    PostgreSQL全球开发组发布了PostgreSQL数据库系统所有支持版本的更新,包括13.4、12.8、11.13、10.18和9.6.23,以及PostgreSQL ...如果您在生产环境中运行PostgreSQL 9.6,我们建议您计划升级到更新的受支持的PostgreSQ

  • 【PG基础知识】七 postgreSQL参数解释二 WRITE-AHEAD LOG部分

    postgreSQL参数解释二 WRITE-AHEAD LOG部分

  • PostgreSQL V10逻辑复制

    PostgreSQL V10逻辑复制原理以及作为逻辑复制使用指导 详细信息 一、什么是逻辑复制(pglogical) 逻辑复制是PostgreSQL V10重量级新特性,支持内置的逻辑复制。在10版本之前,虽然没有内置的逻...

  • 全新 Amazon RDS for MySQL 和 PostgreSQL 多可用区部署选项

    此部署选项适用于 MySQL 和 PostgreSQL 数据库。这是一个具有一个主实例和两个可读备用实例的数据库集群。它提供的事务提交延迟可提速 2 倍,同时提供自动故障转移功能,通常用时不超过 35 秒。启用新的多可用区...

  • 技术干货 | 阿里云数据库PostgreSQL 13大版本揭秘

    简介:阿里云RDS PostgreSQL是一款兼容开源PostgreSQL的全托管云数据库产品,自2015年首次发布以来,根据用户需求不断升级迭代,已支持9.4、10、11、12等多个版本,覆盖了高可用版、基础版、只读实例等多种形态,...

  • 好消息!PostgreSQL 13增加新功能!

    对于PostgreSQL的新手来说,清理是多版本并发系统的一部分,它负责删除每当记录被更改或删除时生成的无效元组或行。autovacuum功能可以清除死掉(已删除)的隐藏行,从而消除表膨胀,类似于Java的垃圾收集器。有两个...

  • postgresql中recovery.conf分析

    recovery_target_action (enum) :指定在达到恢复目标时服务器应该立刻采取的动作,包括pause(暂停)、promote(接受连接)、shutdown(停止服务器),其中pause为默认动作 备库服务器设置 standby_mode ...

  • 一些云原生开源安全工具介绍

    互联网安全中心(CIS)是一个全球性的非营利组织,其任务是确定、开发、验证、升级和维持针对网络防御的最佳解决方案。CIS发布了Kubernetes的基准测试,集群管理员可以使用该基准测试来确保集群遵循推荐的安全配置。

Global site tag (gtag.js) - Google Analytics