CVE-2018-16850 대한 취약점이
pgsql 버전 8.0.15 에서도 발생 가능성이 있나요?
pg_upgrade 관련 문제이기 때문에, 8.0.x 버전에서는 해당되지 않습니다.
8.0 버전이면, 업그레이드도 많이 힘들 것 같네요.
차라리 새 서비스를 준비하는 것이 좋지 않을까싶습니다.
안녕하세요. 김상기님이 답글 감사합니다.
한가지만 더 질문 드릴게요 ㅠ.ㅠ
취약점 내용중에 pg_upgrade 말고 pg_dump 에서도 임이의 SQL 문을 수퍼 유저 권한으로 실핼 할 수 있습니다. 라는 내용이 있는데
8.0.15에서 pg_dump는 관련이 없을까요?
※DB에 대한 지식이 짧아 질문 수준이 낮은점 양해 부탁드립니다.
구체적인 부분이 어떻게 수정되었는지는 모르겠으나, 이 패치는 11, 10 버전에 대해서만 적용되었습니다.
9.6 이에도 문제가 있었다면, 아마 모두 백패치를 했겠죠. 이런 자의적인 판단을 감안하면, 8.0 쪽에도 해당이 없는게 아닐까생각합니다.
하위 버전 모두 발생가능한 문제입니다.
9.3버전 이하는 생명주기가 다했기때문에 더이상 버그 와 보안패치 수정을 하지 않으니,
가급적 빨리 버전을 업데이트 하라는 내용이네요.
8.x 버전대의 pg_migrator 가 pg_upgrade로 보입니다.
설계상 권한제어 설정미스로 보여지는데, 아마 같은 문제가 발생할것 같네요.
pg_migrator, pg_dump의 사용권한을 접속 권한을 주지 않는것이 최선인듯 하네요.
빠르게 데이터 백업후 버전 업데이트 하시는게 잠재적위협을 없애는 길입니다.
PostgreSQL 9.3 is now end-of-life and will no longer receive any bug or security fixes. We urge users to start planning an upgrade to a later version of PostgreSQL as soon as possible. Please see our versioning policy for more information.
www.postgresql.org/about/news/1905/