羲和（Halo）数据库关键补丁更新公告 - 2024年6月

尊敬的羲和（Halo）数据库用户：

您好

我们非常感谢您一直以来对羲和（Halo）数据库的支持与信任。为了不断提升产品的安全性和稳定性，我们近期对羲和（Halo）数据库进行了全面的安全审计，并发现了以下两个重要的安全漏洞。为了确保您的数据安全，我们已紧急开发了相应的补丁，并对这些漏洞进行了修复。现将有关情况公告如下：

一、漏洞详情

（一）pg_stats_ext 和 pg_stats_ext_exprs 视图缺少认证漏洞

漏洞编号：CVE-2024-4317

风险级别：低

漏洞描述：在羲和（Halo）数据库的某些版本中，pg_stats_ext 和 pg_stats_ext_exprs 视图存在认证缺失的问题。这导致无权限的用户可以访问并查看这些视图中的统计信息，从而可能泄露敏感数据或影响数据库的安全性。

修复措施：我们已对这两个视图进行了认证机制的增强，确保只有具备相应权限的用户才能访问这些视图。

（二）通过 REFRESH MATERIALIZED VIEW CONCURRENTLY 的权限提升漏洞

漏洞编号：CVE-2024-0985

风险级别：高

漏洞描述：在羲和（Halo）数据库的某些版本中，通过 REFRESH MATERIALIZED VIEW CONCURRENTLY 的权限提升漏洞，对象创建者可以绕过权限检查，执行任意函数。这可能导致未授权的代码执行和数据泄露等安全问题。

修复措施：我们已对 REFRESH MATERIALIZED VIEW CONCURRENTLY 操作进行了权限控制的优化，确保只有具备相应权限的用户才能执行该操作。

二、补丁更新

为了修复上述漏洞，我们已发布了羲和（Halo）数据库的关键补丁。如果您有版本更新需求，请联系我们的商务团队。我们的商务团队将协调技术同事为您提供专业的技术支持和解决方案。

三、安全建议

为了保障您的数据安全，我们建议您采取以下安全措施：

定期更新：请定期关注羲和（Halo）数据库的更新公告，并及时应用最新的补丁和版本更新。

权限管理：请加强数据库系统的权限管理，确保只有具备相应权限的用户才能访问和操作数据库。

安全审计：请定期对数据库系统进行安全审计和漏洞扫描，及时发现并修复潜在的安全问题。

再次感谢您对羲和（Halo）数据库的支持与信任。我们将继续努力提升产品的安全性和稳定性，为您提供更加优质的服务。