Scientific Linux 安全更新：SL5.x i386/x86_64 中的 postgresql84

high Nessus 插件 ID 60794

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

已在 PostgreSQL 对以 PL/Perl 编写的脚本强制进行权限检查的方式中发现一个缺陷。如果在特定数据库上注册了 PL/Perl 过程语言，运行特别构建的 PL/Perl 脚本的经认证的数据库用户可利用此缺陷来绕过预期的 PL/Perl 受信任模式限制，从而允许其以数据库服务器的权限运行任意 Perl 脚本。
(CVE-2010-1169)

已在 PostgreSQL 对以 PL/Tcl 编写的脚本强制进行权限检查的方式中发现一个缺陷。如果在特定数据库上注册了 PL/Tcl 过程语言，运行特别构建的 PL/Tcl 脚本的经认证的数据库用户可使用此缺陷来绕过预期 PL/Tcl 信任的模式限制，从而允许其以数据库服务器的权限运行任意 Tcl 脚本。
(CVE-2010-1170)

如果 postgresql 服务正在运行，它将在安装此更新后自动重新启动。

注意 1：无法在同一系统上连续安装 postgresql84 和 postgresql 程序包，除非 postgresql-libs 程序包能够与 postgresql84 同时存在。postgresql-libs 程序包中包含现有应用程序可能会链接的客户端库代码。这些库在新的服务器上将仍起作用。

注释 2：由于 8.4.x 与 8.1.x 还存在磁盘上的数据格式差异，无法仅通过替换程序包来将现有 8.1.x PostgreSQL 数据库升级到 8.4.x。而是要首先使用 pg_dumpall 命令来转储现有数据库的内容，然后关闭旧服务器并删除数据库文件（在 /var/lib/pgsql/data 下）。接着删除旧程序包并安装新程序包；启动新服务器；最后从 pg_dumpall 输出还原数据。