PostgreSQL 10.3、9.6.8、9.5.12、9.4.17 和 9.3.22 版本已發布！

2018-03-01 安全性更新發布

PostgreSQL Global Development Group 已發布對所有受支援的 PostgreSQL 資料庫系統版本的更新，包括 10.3、9.6.8、9.5.12、9.4.17 和 9.3.22。

此版本的目的是解決 CVE-2018-1058，該漏洞描述了使用者如何在不同的綱要中建立類似名稱的物件，這些物件可能會變更其他使用者查詢的行為，並導致意外或惡意的行為，也稱為「特洛伊木馬」攻擊。 此版本的大部分內容都集中在新增的文件上，這些文件描述了該問題以及如何採取步驟來減輕對 PostgreSQL 資料庫的影響。

我們強烈建議所有使用者訪問 CVE-2018-1058 指南：保護您的搜尋路徑，以取得 CVE-2018-1058 的詳細說明以及如何保護您的 PostgreSQL 安裝。

在評估 CVE-2018-1058 的文件後，資料庫管理員可能需要在其 PostgreSQL 安裝上採取後續步驟，以確保它們受到保護，免受漏洞利用。

安全性問題

此版本解決了一個安全性漏洞

• CVE-2018-1058：pg_dump 和其他客戶端應用程式中不受控制的搜尋路徑元素

請訪問 CVE-2018-1058 指南：保護您的搜尋路徑，以取得 CVE-2018-1058 的完整說明。

錯誤修復和改進

此更新修復了自上次累積更新以來報告的多個錯誤。 其中一些問題僅影響版本 10，但許多問題影響所有受支援的版本。 這些修復包括

• 防止邏輯複製嘗試複製無法發布的關係的變更，例如具體化視圖和 "information_schema" 表格
• 修復了在子計畫中被引用時，通用表格表達式 (WITH 子句) 返回正確結果的問題，其中存在並行更新重新檢查
• 修復了在 OUTER JOIN 中存在重疊的合併聯接子句時，可能發生的意外查詢規劃器錯誤。
• 修復了在執行 pg_upgrade 後，具體化視圖可能發生的資料損毀問題。 如果在具體化視圖上收到諸如「無法存取交易狀態」或「找到來自 relfrozenxid 之前的 xmin」等錯誤，請使用不含 "CONCURRENTLY" 的 "REFRESH MATERIALIZED VIEW" 進行修復。
• 多個 pg_dump 的修復，包括幫助未來跨表統計工作的一個修復
• 修復了相對於內部 PL/Python 函數報告 PL/Python 堆疊追蹤的問題
• 允許 contrib/auto_explain 範圍達到 INT_MAX，大約是 24 天
• 將各種配置變數標記為 PGDLLIMPORT，以簡化擴展模組到 Windows 的移植

致謝

PostgreSQL Global Development Group 感謝 Arseniy Sharoglazov 向安全團隊報告 CVE-2018-1058。

連結

• CVE-2018-1058 指南：保護您的搜尋路徑
• 下載
• 發行說明
• 安全頁面
• 版本控制政策