한국시간으로 오늘 발표되었는데,
- 외부 서버 사용자 정보를 볼 수 있는 pg_user_mappings 뷰에서 사용자 옵션 부분을 자신만 볼 수 있도록 수정한 것과,
- libpq 를 사용하는 경우 비밀번호 인증이 필요한데, 비밀번호를 빈 문자열로 지정한 경우 로그인을 허용했던 부분을 막았는 것과,
- 대형 객체 update 부분의 접근 권한을 보다 엄격하게 한 것
이렇게 세 부분의 보안 취약점을 수정한 배포판입니다.
그외,
자잘한 문제점들을 수정했습니다.
문제는 지난 9,6.3 부분에서 정리한 pg_user_mappings 뷰 부분을 또 고쳤습니다.
그래서 이미 만들어진 데이터베이스에 대해서는 이 뷰를 다시 정의하는 작업을 또 해야합니다.
9.2 이상 모든 데이터베이스에 동일 패치가 적용되었습니다. 사용하고 있는 서버의 보안 취약점이 걱정된다면 시간 내어 적용하는 것이 맞을 것 같습니다.
릴리즈 노트를 보면서 알아서 잘 정리해서 쓰세요.
|