[240725] X-CMD 发布 v0.4.2：引入 hua 模块，在终端中阅读古文诗词 | MySQL 发布 9.0 | Docker 引擎爆出 AuthZ 插件绕过漏洞

X-CMD 发布 v0…4.2

✨ hua

新增

• 中国古诗文阅读模块 hua, 可以使用 x hua 快速查阅唐诗、宋词、楚辞等文章。

✨ elv

更新

• x elv --setup 新增了 all、mod、rc 子命令，可以选择不同程度地将 x-cmd 注入 elvish 环境，实现自由灵活的配置。

升级指南：

# 可以直接用安装脚本
eval "$(curl https://get.x-cmd.com)"
​
# 已安装 x-cmd 的用户则可通过 upgrade 指令触发更新
x upgrade

感谢你对 x-cmd 的支持！ 😊

MySQL 发布 9.0

Oracle 在 7 月初推出了 MySQL 8.0.38 和 MySQL 9.0 创新版本，v9 版本增加了向量数据类型、JavaScript 支持、新的事件 DDL 等。相比之下，v8 版本侧重于稳定性，提供安全更新、错误修复和性能改进。

一、mysql 9.0.0 的新特性

MySQL 9.0 主要亮点包括对 CREATE 和 ALTER 语句中向量数据类型的有限支持。此外，还提供基于 JavaScript 的存储过程和函数。

1. 增强的 JSON 支持:用户现在可以将 EXPLAIN ANALYZE 命令的 JSON 输出直接保存到用户变量中:

   EXPLAIN ANALYZE FORMAT=JSON INTO @variable select_stmt
   

   该变量可以用作任何 MySQL JSON 函数的 JSON 参数，通过更轻松的操作来增强查询的调试和优化。

2. 新增向量类型:

   • mysql 在 CREATE 和 ALTER 语句支持新的向量数据类型。
   • VECTOR 列不能用作任何类型的键。包括主键、外键、唯一键和分区键。
   • 支持部分字符串和加密函数，不支持数值、时间、全文搜索、XML、位和 JSON 函数。
   • 只能与其他 VECTOR 类型进行相等比较。

3. 引入 JavaScript 存储过程:

   • MySQL 企业版中引入了 JavaScript 存储过程，支持用 JavaScript 编写存储过程 和 存储函数。
   • 支持 ECMAScript 2023 规范，默认使用严格模式。
   • 支持 MLE 组件提供的 SQL 和结果集 API，以及会话信息和管理功能

4. 新增预处理语句中的事件 DDL: 在事件调度程序中，用户可以预处理 SQL 语句 CREATE EVENT、ALTER EVENT 和 DROP EVENT。

除此之外，Oracle 还发布了 9.0 版本的 MySQL 客户端、工具和连接器，支持 MySQL Server 8.0、8.4 LTS 和 9.0 创新版。

二、MySQL 9.0 中已弃用/删除的功能

1. 删除基于 SHA-1 的 mysql_native_password 身份验证插件。
2. 弃用了性能模式的 “variables_info” 表的 “MIN_VALUE” 和 “MAX_VALUE” 列，这些列现在被新的 “variables_metadata” 表中的类似列取代。
3. 弃用更新同时包含事务性和非事务性/不可组合表的混合事务。

三、其他更新

• 审计日志:

  • 无论插件类型如何，MySQL 现在都会使用有效的插件结构作为参数调用 plugin->deinit()。

• C API:

  • 修复了 C API 应用程序在接收服务器端准备语句的结果时停滞的问题。

• 字符集支持:

  • 修复了 REPLACE() 函数在处理多字节字符集时的错误。
  • 修复了 my_instr_mb() 函数在处理多字节字符集时的错误。
  • 修复了 Item_func::eq() 函数错误地将 CONVERT(a USING latin1) 和 CONVERT(a USING utf8mb4) 视为相等的问题。

• 编译说明:

  • macOS 上构建 MySQL 时，CMake 不再尝试使用原生 ctags，现在需要安装 Homebrew 版本。
  • 升级了捆绑的 googletest 和 googlemock 源代码到 1.14.0 版本。
  • 将用于编译 MySQL 的 Boost 版本从 1.84.0 升级到 1.85.0。

• 组件说明:

  • 修复了使用 --loose 前缀设置的组件选项值在安装组件时未读取的问题。

• 配置说明:

  • Windows 上的 MySQL 配置器已更新，以支持就地升级。

• 数据字典说明:

  • 修复了将包含常规列和生成列的 MyISAM 表从 MySQL 5.7 升级到 8.0 或更高版本时导致表损坏的问题。

• 数据类型说明:

  • 修复了将字符串转换为数值时，尾随的非数值数据未引发预期错误或警告的问题。
  • 修复了将双精度浮点数转换为整数时，舍入和截断不一致的问题。

• 优化器说明:

  • 从忽略 IGNORE 关键字的语句的错误列表中删除了 ER_SUBQUERY_NO_1_ROW。

• Performance Schema 说明:

  • 新增 variables_metadata 和 global_variable_attributes 表，提供有关系统变量的信息。

• SQL 语法说明:

  • 现在可以使用 INTO 子句将 EXPLAIN ANALYZE FORMAT=JSON 的输出保存到用户变量中。
  • 现在接受并强制执行内联外键规范，并接受对父表主键列的隐式引用。

• sys 模式说明:

  • 提高了 innodb_lock_waits 视图的性能。

• X Plugin 说明:

  • 修复了无法使用 X 协议将系统变量 caching_sha2_password_digest_rounds 设置为非默认值的问题。

• 错误修复:

  • 修复了大量错误，包括 InnoDB、复制、组复制、JSON、MySQL NDB ClusterJ 和一般服务器错误。

来源：

https://dev.mysql.com/doc/relnotes/mysql/9.0/en/news-9-0-0.html

Docker 引擎爆出 AuthZ 插件绕过漏洞（CVE-2024-41110）

Docker 发布安全公告，修复了 Docker 引擎中存在的一个 AuthZ（授权）插件绕过漏洞 (CVE-2024-41110)。该漏洞最初于 2019 年修复，但在后续版本中被意外引入，导致回归。

漏洞影响：

• 攻击者可利用该漏洞绕过授权插件的限制，执行未经授权的操作，包括权限提升。
• 影响版本包括 Docker Engine v19.03.15 及之前版本、v20.10.27 及之前版本、v23.0.14 及之前版本等。
• 依赖 AuthZ 插件进行访问控制的用户受影响最大。

缓解措施：

• 更新 Docker Engine 至最新版本。
• 无法立即更新的用户可禁用 AuthZ 插件或限制对 Docker API 的访问。
• Docker Desktop 用户需更新至 v4.33 或更高版本。

该漏洞影响范围较广，建议用户尽快采取措施进行修复，以避免潜在的安全风险。

来源：

https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/

更多内容请查阅 : blog-240725

---

关注微信官方公众号 : oh my x

获取开源软件和 x-cmd 最新用法