2015-10-08 安全性更新發布

PostgreSQL Global Development Group 已經發布了所有受支援的資料庫系統版本更新，包括 9.4.5、9.3.10、9.2.14、9.1.19 和 9.0.23。此版本修復了兩個安全性問題，以及過去四個月中發現的幾個錯誤。 容易受到安全性問題影響的使用者應立即更新其安裝； 其他使用者應在下次排定的停機時間進行更新。 這也是主要版本 9.0 的最終更新版本。

安全性修復

在此版本中修復了兩個安全性問題，這些問題會影響特定 PostgreSQL 功能的使用者

CVE-2015-5289：從任意使用者輸入建構的 json 或 jsonb 輸入值可能會使 PostgreSQL 伺服器崩潰，並導致阻斷服務。

CVE-2015-5288：包含在可選 pgCrypto 擴充功能中的 crypt() 函數可能被利用來讀取一些額外的記憶體位元組。 尚未開發出針對此問題的有效漏洞利用。

PostgreSQL 專案感謝 Josh Kupershmidt 和 Oskari Saarenmaa 報告這些問題。

此更新也將預設停用 SSL 重新協商； 以前，預設為啟用。 SSL 重新協商將在 PostgreSQL 9.5 及更高版本中完全移除。

其他修復和改進

除了上述之外，此版本還根據過去幾個月使用者報告的錯誤修補了許多其他問題。 這些修復包括

• 防止深度巢狀的 regex、LIKE 和 SIMILAR 匹配使伺服器崩潰
• 多個其他與正則表達式處理相關的修復
• 確保 ALTER TABLE 為 CONSTRAINT 修改設定所有鎖定
• 修復游標失敗時的子交易清理，防止崩潰
• 防止設定 commit_delay 時在 WAL 插入期間發生死鎖
• 修復更新可更新檢視時的鎖定
• 防止關聯性快取「初始化檔案」損毀
• 提高大型 SPI 查詢結果的效能
• 改善 LISTEN 啟動時間
• 預設停用 SSL 重新協商
• 降低 *_freeze_max_age 參數的最小值
• 將 wal_buffers 的最大值限制為 2GB
• 防止多個區域中潛在的堆疊溢位
• 修復日期時間輸入中 DOW 和 DOY 的處理
• 允許更快地取消正則表達式查詢
• 修復各種計劃器錯誤
• 修復 postmaster 中的幾個關閉問題
• 使反環繞自動清理更強大
• 修復 GIN 和 SP-GiST 索引的次要問題。
• 修復 PL/Python、PL/Perl 和 PL/Tcl 的幾個問題
• 改善 pg_stat_statements 的垃圾收集
• 改善 pgsql_fdw 中的定序處理
• 改善 libpq 對記憶體不足狀況的處理
• 防止沒有目前連線時 psql 崩潰
• 對 pg_dump 進行多個修復，包括檔案和物件權限
• 改善從舊 PostgreSQL 版本傾印時的權限處理
• 修復對 Alpha、PPC、AIX 和 Solaris 平台支援的問題
• 修復 Windows 上使用中文地區設定的啟動問題
• 修復 Windows install.bat 腳本以處理檔案名稱中的空格
• 使數值 PostgreSQL 版本號碼可供擴充功能使用

此更新還包含 tzdata 版本 2015g，其中包含開曼群島、斐濟、摩爾多瓦、摩洛哥、諾福克島、北韓、土耳其、烏拉圭和新時區 America/Fort_Nelson 的更新。

9.0 的最終更新

9.0.23 是主要版本 9.0 的最終更新，該版本已按計劃終止支援 (EOL)。 未來的安全性更新將不包括版本 9.0。 因此，該版本的使用者應計劃盡快升級到另一個主要版本。 有關社群支援政策和 EOL 時間表的更多資訊，請參閱版本政策。

更新

所有 PostgreSQL 更新版本都是累積的。 與其他次要版本一樣，使用者不需要傾印和重新載入資料庫或使用 pg_upgrade 才能應用此更新版本； 您可以簡單地關閉 PostgreSQL 並更新其二進位檔。 跳過多個更新版本的使用者可能需要執行其他更新後步驟； 有關詳細資訊，請參閱發行說明。

連結

• 下載
• 發行說明
• 安全性頁面