Scientific Linux 安全性更新：SL5.x i386/x86_64 上的 postgresql84

high Nessus Plugin ID 60794

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

在 PostgreSQL 針對以 PL/Perl 撰寫的指令碼強制權限檢查的方式中發現一個瑕疵。如果 PL/Perl 程序語言已在特定資料庫上註冊，則經驗證的資料庫使用者在執行特製 PL/Perl 指令碼時，可利用此瑕疵繞過預定的 PL/Perl 信任模式限制，以便藉由資料庫伺服器的權限執行任意 Perl 指令碼。
(CVE-2010-1169)

在 PostgreSQL 針對以 PL/Tcl 撰寫的指令碼強制權限檢查的方式中發現一個瑕疵。如果 PL/Tcl 程序語言已在特定資料庫上註冊，則經驗證的資料庫使用者在執行特製 PL/Perl 指令碼時，可利用此瑕疵繞過預定的 PL/Tcl 信任模式限制，以便藉由資料庫伺服器的權限執行任意 Tcl 指令碼。
(CVE-2010-1170)

如果 postgresql 服務正在執行中，在安裝此更新之後，它會自動重新啟動。

注意 1：不能在相同系統上並行安裝 postgresql84 和 postgresql 套件，例外狀況為 postgresql-libs 套件可與 postgresql84 平行存在。postgresql-libs 套件包含現有應用程式可能已連結的用戶端程式庫程式碼。這些程式庫仍可搭配較新的伺服器使用。

注意 2：由於 8.4.x 版的磁碟上資料格式也和 8.1.x 版有所差異，故無法僅藉由取代套件便將現有的 8.1.x PostgreSQL 資料庫升級至 8.4.x。而是需先使用 pg_dumpall 命令轉儲存現有資料庫的內容，然後關閉舊的伺服器並移除資料庫檔案 (在 /var/lib/pgsql/data 底下)。接著，移除舊的套件再安裝新套件、啟動新伺服器，最後從 pg_dumpall 輸出還原資料。