E.32. リリース8.0.3

リリース日: 2005-05-09

このリリースは、複数のセキュリティ関連の問題を含む、8.0.2の各種不具合を修正したものです。

E.32.1. バージョン8.0.3への移行

8.0.Xからの移行ではダンプ/リストアは不要です。 しかし、8.0.xのシステムカタログで見つかった2つの重大なセキュリティ問題を突かれる可能性があります。 ダンプ、8.0.3のinitdbを使用したinitdb、リロードを行うことで、自動的にこれらの問題を修正します。

より重大なセキュリティ問題は、組み込みの文字セット符号化変換関数により、権限を持たないユーザがSQLコマンドを呼び出すことができるという点です。 このような用途のためにこれらの関数を設計していませんでしたが、悪意のある引数の設定に対する安全性がありませんでした。 この修正により、これらの関数の宣言されたパラメータリストがSQLコマンドから呼び出されないように変更されました。 (通常の符号化変換機構の使用には影響はありません。)

もうひとつの問題は、contrib/tsearch2モジュールが、internal型の引数を取らない場合に間違ってinternalを返すものと宣言された関数を複数作成することです。 これによりinternal型の引数を使用するすべての関数について、型の安全性が損なわれます。

initdb、もしくは、後述の手作業による修正手順に従って、すべてのインストレーションにおいてこれらのエラーを修正することを強く勧めます。 これらのエラーにより、少なくとも、権限を持たないデータベースユーザがサーバプロセスをクラッシュさせることができます。 また、権限を持たないユーザがデータベーススーパーユーザ権限を手に入れることができる可能性もあります。

initdbを行いたくないのであれば、7.4.8リリースノートで示した手作業による修正手順を行ってください。

E.32.2. 変更点