PostgreSQL Global Development Group 建議所有 Debian 和 Ubuntu 使用者,盡快更新他們的 "postgresql-common" 套件,此建議與 2019 年 11 月 14 日針對版本 12.1、11.6、10.11、9.6.16、9.5.20 和 9.4.25 的累積更新版本發布相關。
來自 apt.postgresql.org、debian.org 和 ubuntu.com 的最新 PostgreSQL 套件版本修補了一個漏洞 (CVE-2019-3466),該漏洞允許 PostgreSQL 超級使用者利用 pg_ctlcluster 命令中的缺陷提升為 root 權限。pg_ctlcluster 是一個由 "postgresql-common" 套件提供的工具,該套件會與 PostgreSQL 一起安裝在這些平台上。
所有 PostgreSQL 更新版本都是累積性的。與其他小版本更新一樣,使用者無需轉儲和重新載入資料庫,也不需要使用 pg_upgrade 來套用此更新版本;您可以直接關閉 PostgreSQL 並更新其二進制檔案。
跳過一個或多個更新版本的使用者可能需要執行額外的更新後步驟;請參閱先前版本的版本說明以了解詳細資訊。
注意:PostgreSQL 9.4 將於 2020 年 2 月 13 日停止接收修補程式。請參閱我們的 版本控制政策 以取得更多資訊。