MariaDB 10.5.8、10.4.17、10.3.27 和 10.2.36 的紧急版本现已发布
MariaDB 基金会很高兴宣布在其各自系列中最新的稳定版本 MariaDB 10.5.8、MariaDB 10.4.17、MariaDB 10.3.27 和 MariaDB 10.2.36 现已可用。
为什么我们在发布 10.5.7、10.4.16 等版本仅一周后,再次发布 MariaDB?紧急情况是什么?
之前按计划发布的一组版本(10.2 及更高版本)包含一项安全相关变更——MariaDB 服务器在接受来自客户端的网络数据包时变得更加严格。它从来就不是特别信任客户端,但在处理预处理语句时仍然存在一个漏洞,服务器只是假设客户端发送的是正确的数据。现在不一样了,自 11 月初以来,服务器严格验证所有传入的数据包并拒绝无效数据包。这使得服务器对蓄意发送特制无效数据包的恶意客户端更加安全。
唉,结果发现一些流行的连接器会常规性地发送违反协议规范的无效数据包。这些连接器包括 PHP 中旧版本的 mysqlnd(在 PHP 7.3 中已修复)以及所有版本的 mysql-connector-python 和 mysql-connector-j。幸运的是,mysql-connector-c 根据规范正确地实现了协议。
但无论错误出在哪里,从用户角度来看,是 MariaDB 升级导致他们的应用程序中断。而且他们不能总是升级到 PHP 7.3 或等待 Oracle 修复连接器。
为了帮助他们,我们今天发布了一个紧急错误修复,它部分放宽了数据包验证,并允许这些连接器发送的数据包末尾携带一些“垃圾”数据。只要服务器不试图使用这些“垃圾”数据,这并不会降低服务器的安全性。请注意,10.1.48 版本未受影响,因此无需重新发布。
我们现在在 buildbot 中测试第三方连接器,以确保 MariaDB 协议更改将来不会再次破坏它们。
此外,我们借此机会发布了修复,解决了 InnoDB 处理索引虚拟列中的错误以及 长 IN 列表的优化问题。
MariaDB 10.5.8 的贡献者
Igor Babaev (MariaDB Corporation)
Marko Mäkelä (MariaDB Corporation)
Oleksandr Byelkin (MariaDB Corporation)
Sergei Golubchik (MariaDB Corporation)
Sergei Petrunia (MariaDB Corporation)
5 位贡献者
MariaDB 10.4.17 的贡献者
Igor Babaev (MariaDB Corporation)
Marko Mäkelä (MariaDB Corporation)
Oleksandr Byelkin (MariaDB Corporation)
Sergei Golubchik (MariaDB Corporation)
Sergei Petrunia (MariaDB Corporation)
5 位贡献者
MariaDB 10.3.27 的贡献者
Igor Babaev (MariaDB Corporation)
Oleksandr Byelkin (MariaDB Corporation)
Sergei Golubchik (MariaDB Corporation)
Sergei Petrunia (MariaDB Corporation)
4 位贡献者
MariaDB 10.2.36 的贡献者
Igor Babaev (MariaDB Corporation)
Oleksandr Byelkin (MariaDB Corporation)
Sergei Petrunia (MariaDB Corporation)
3 位贡献者
感谢,祝您使用 MariaDB 愉快!
MariaDB10.3.27:如何设置密码复杂度?
见 https://mariadb.com/kb/en/password-validation-plugins/