PgBouncer 1.24.1 已釋出。此版本修復了 CVE-2025-2291,該漏洞可能允許攻擊者繞過 Postgres 的密碼過期機制。這種密碼過期是透過 Postgres 中的 VALID UNTIL 子句設定的。這是一個影響所有 PgBouncer 版本的安全問題。如果您同時使用了 VALID UNTIL 和 auth_user,則應升級,或者將配置檔案中的 auth_query 更改為在此版本中預設使用的新 auth_query。如果您使用的是自定義 auth_query,則應更新它,使其與此版本中新的預設 auth_query 類似。
此版本還透過恢復 HBA 檔案中對 pam 的支援,修復了 PAM 認證問題。PAM 認證在 1.24.0 版本中意外損壞。
有關更多資訊、詳細的更改日誌和下載連結,請參閱 https://www.pgbouncer.org/2025/04/pgbouncer-1-24-1。
PgBouncer 是一個輕量級的 PostgreSQL 連線池。