Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15 和 4.2.22 釋出。

Pgpool-II 是什麼？

Pgpool-II 是一個為 PostgreSQL 新增有用功能的工具，包括

• 連線池
• 負載均衡
• 自動故障轉移和更多功能。

小版本釋出

Pgpool Global Development Group 很高興宣佈以下版本的 Pgpool-II 可用。

• 4.6.1
• 4.5.7
• 4.4.12
• 4.3.15
• 4.2.22

本次釋出包含了一個安全修復。

Pgpool-II 的客戶端認證機制中存在一個認證繞過漏洞。在 Pgpool-II 中，即使應該強制執行認證，也可能發生認證繞過。因此，攻擊者可以以任何使用者的身份登入，可能導致資訊洩露、資料篡改，甚至完全關閉資料庫。（CVE-2025-46801）

此漏洞會影響認證配置匹配以下任一模式的系統：

• 模式 1：當滿足以下所有條件時，會發生此漏洞：

  • 在 pool_hba.conf 中使用了密碼認證方法
  • allow_clear_text_frontend_auth = off
  • 使用者密碼未在 pool_passwd 中設定
  • 在 pg_hba.conf 中使用了 scram-sha-256 或 md5 認證方法

• 模式 2：當滿足以下所有條件時，會發生此漏洞：

  • enable_pool_hba = off
  • 在 pg_hba.conf 中使用了以下任一認證方法：password、pam 或 ldap

• 模式 3：當滿足以下所有條件時，會發生此漏洞：

  • 使用了原始模式（backend_clustering_mode = 'raw'）
  • 在 pool_hba.conf 中使用了 md5 認證方法
  • allow_clear_text_frontend_auth = off
  • 使用者密碼以明文或 AES 格式註冊在 pool_passwd 中
  • 在 pg_hba.conf 中使用了以下任一認證方法：password、pam 或 ldap

Pgpool-II 的所有 4.0 和 4.1 系列版本，4.2.0 至 4.2.21、4.3.0 至 4.3.14、4.4.0 至 4.4.11、4.5.0 至 4.5.6 和 4.6.0 版本均受此漏洞影響。強烈建議升級到 Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15 和 4.2.22 或更高版本。或者，您可以修改您的設定，使其不匹配任何易受攻擊的配置模式。

請檢視發行說明。

您可以下載 原始碼和 RPM 包。