PostgreSQL 開發團隊為所有受支持的資料庫版本發布了更新,其中包括 PostgreSQL 12.2, 11.7, 10.12, 9.6.17, 9.5.21 和 9.4.26。本次發布的更新修復了在 PostgreSQL 伺服器中發現的一個安全問題,並修復了過去三個月內來自社區反饋的 70 多個錯誤。
要注意的是,PostgreSQL 9.4 已經 EOL(生命周期結束),所以 PostgreSQL 9.4.26 是 9.4 系列的最後一個版本。從該版本開始,PostgreSQL 9.4 不再接收到安全更新和錯誤修復。PostgreSQL 9.4 引入了不少新功能, 例如支持 JSONB、ALTER SYSTEM
命令、將流式傳輸的邏輯功能更改到輸出插件等。
團隊表示,這些功能在新版本 PostgreSQL 中都已提供,所以建議用戶儘快計劃進行更新。
安全問題
ALTER ... DEPENDS ON EXTENSION
缺少授權檢驗受影響的版本:9.6 - 12
所述ALTER ... DEPENDS ON EXTENSION
子命令不執行授權檢查,這會導致未經授權的用戶可在某些條件下刪除任意的函數、存儲過程、物化視圖(materialized view)、索引以及觸發器。如果管理員安裝了擴展,並且無特權的用戶也可以CREATE
、或者擴展所有者可以按預期執行DROP EXTENSION
,以及被說服執行DROP EXTENSION
.,則可能會發生此攻擊DROP EXTENSION
。
錯誤修復和改進
本次更新還修復了社區過去幾個月報告的 75 個錯誤。其中一些問題僅影響版本12,但也可能影響所有受支持的版本。
其中一些修復程序包括:
TRUNCATE ... CASCADE
不會刪除所有數據。如果您以前在帶有外鍵引用的分區表上使用過TRUNCATE ... CASCADE
,請參閱「更新」部分內容以獲取驗證和清除步驟。RECORD
。UPDATE
觸發器的邏輯複製訂閱者下載地址:https://www.postgresql.org/download/
更新說明:https://www.postgresql.org/about/news/2011/
[admin
]