PostgreSQL 10.3、9.6.8、9.5.12、9.4.17 和 9.3.22 釋出！

2018-03-01 安全更新發布

PostgreSQL 全球開發組釋出了對所有受支援版本的 PostgreSQL 資料庫系統的更新，包括 10.3、9.6.8、9.5.12、9.4.17 和 9.3.22。

本次釋出旨在解決 CVE-2018-1058，該漏洞描述了一個使用者可以在不同模式（schema）下建立同名物件，從而改變其他使用者的查詢行為並導致意外或惡意行為，也稱為“特洛伊木馬”攻擊。本次釋出的大部分內容集中在新增文件，這些文件描述了該問題以及如何採取措施減輕對 PostgreSQL 資料庫的影響。

我們強烈建議所有使用者訪問 CVE-2018-1058 指南：保護您的搜尋路徑，以詳細瞭解 CVE-2018-1058 的解釋以及如何保護您的 PostgreSQL 安裝。

在評估了 CVE-2018-1058 的文件後，資料庫管理員可能需要在其 PostgreSQL 安裝上採取後續步驟，以確保其免受利用。

安全問題

本次釋出解決了 1 項安全漏洞

• CVE-2018-1058：pg_dump 和其他客戶端應用程式中的不受控制的搜尋路徑元素

請訪問 CVE-2018-1058 指南：保護您的搜尋路徑，以獲得 CVE-2018-1058 的完整解釋。

錯誤修復和改進

本次更新修復了自上次累積更新以來報告的多個錯誤。其中一些問題僅影響版本 10，但許多問題影響所有受支援的版本。這些修復包括：

• 防止邏輯複製嘗試複製不可釋出的關聯（例如物化檢視和“information_schema”表）的更改
• 修復了在併發更新重檢的子計劃中引用時，公用表表達式（WITH 子句）返回正確結果的問題
• 修復了在某些情況下，外連線（OUTER JOIN）中存在重疊的合併連線子句時，查詢規劃器出現的意外錯誤。
• 修復了執行 pg_upgrade 後物化檢視可能導致資料損壞的問題。如果收到類似“無法訪問事務狀態”或“found xmin from before relfrozenxid”的錯誤，請使用不帶“CONCURRENTLY”的“REFRESH MATERIALIZED VIEW”進行修復。
• 修復了 pg_dump 的多處問題，包括有助於未來進行跨表統計工作的修復
• 修復了報告 PL/Python 函式相對於內部 PL/Python 函式的堆疊跟蹤問題
• 允許 contrib/auto_explain 的範圍達到 INT_MAX，大約為 24 天
• 將各種配置變數標記為 PGDLLIMPORT，以方便將擴充套件模組移植到 Windows

致謝

PostgreSQL 全球開發組感謝 Arseniy Sharoglazov 將 CVE-2018-1058 報告給安全團隊。

連結

• CVE-2018-1058 指南：保護您的搜尋路徑
• 下載
• 發行說明
• 安全頁面
• 版本策略