PostgreSQL 全球開發團隊已釋出 PostgreSQL 所有受支援版本的更新,包含 15.3、14.8、13.11、12.15 及 11.20。此版本修正了兩個安全性漏洞以及過去幾個月回報的超過 80 個錯誤。
如需完整的變更列表,請參閱發布說明。
PostgreSQL 11 將於 2023 年 11 月 9 日停止接收修正程式。如果您在生產環境中執行 PostgreSQL 11,建議您規劃升級到更新、受支援的 PostgreSQL 版本。請參閱我們的版本政策以取得更多資訊。
CREATE SCHEMA ... schema_element 繞過保護性的 search_path 變更。受影響的版本:11 - 15。安全性團隊通常不會測試不受支援的版本,但這個問題存在已久。
這使擁有資料庫層級 CREATE 權限的攻擊者可以 bootstrap 超級使用者身分執行任意程式碼。資料庫擁有者預設擁有此權限,明確的授與可能會將其擴展到其他使用者。
PostgreSQL 專案感謝 Alexander Lakhin 回報此問題。
受影響的版本:11 - 15。安全性團隊通常不會測試不受支援的版本,但這個問題存在已久。
雖然 CVE-2016-2193 修正了資料列安全性和使用者 ID 變更之間的大多數互動,但它遺漏了一個涉及函式內聯的場景。這導致在使用角色特定的策略,並且給定的查詢是在一個角色下規劃,然後在其他角色下執行的情況下,可能應用不正確的策略。這種情況可能發生在 security definer 函式中,或者當一個通用使用者和查詢最初被規劃,然後在多個 SET ROLE 中重複使用時。應用不正確的策略可能會允許使用者完成原本被禁止的讀取和修改。這僅影響使用 CREATE POLICY 定義資料列安全策略的資料庫。
PostgreSQL 專案感謝 Wolfgang Walther 回報此問題。
此更新修正了過去幾個月回報的超過 80 個錯誤。以下列出的問題會影響 PostgreSQL 15。其中一些問題也可能影響其他受支援的 PostgreSQL 版本。
此版本包含
STRATEGY = WAL_LOG 時,針對 CREATE DATABASE 的多項修正,包含可能導致 template/source 資料庫的修改遺失的潛在損毀。CREATE SCHEMA AUTHORIZATION 的崩潰問題。MERGE 的多項修正。COPY TO 時,不會複製任何來自子資料表的資料列。vacuum_defer_cleanup_age 大於目前的 64 位元 xid 而造成的資料損毀。IS NOT TRUE 和 IS NOT FALSE 條件的分割區修剪錯誤。在此之前,NULL 分割區被意外地修剪。vacuum_cost_delay 設定的支援。UPDATE 或 DELETE 動作期間,忽略已卸除的欄位和產生的欄位。DO 區塊中使用轉換表達式時,在會話中的記憶體洩漏。pg_dump,以便可以成功還原在 列舉類型欄位上進行雜湊分割的分割資料表。pg_trgm,其中無法滿足的正規表示式可能會在使用 GiST 或 GIN 索引時導致崩潰。pg_walinspect 中 pg_get_wal_records_info() 的記憶體用量。此版本還更新了時區資料檔案為 tzdata 版本 2023c,以應對埃及、格陵蘭、摩洛哥和巴勒斯坦的 DST 法律變更。在觀察莫斯科時間時,Europe/Kirov 和 Europe/Volgograd 現在使用縮寫 MSK/MSD,而不是數字縮寫,以與觀察莫斯科時間的其他時區保持一致。此外,America/Yellowknife 不再與 America/Edmonton 不同;這會影響該地區 1948 年之前的一些時間戳記。
如需可用的完整變更列表,請參閱發布說明。
所有 PostgreSQL 更新版本都是累積性的。與其他次要版本一樣,使用者不需要轉儲和重新載入其資料庫或使用 pg_upgrade 即可應用此更新版本;您可以直接關閉 PostgreSQL 並更新其二進位檔案。
跳過一個或多個更新版本的使用者可能需要執行額外的更新後步驟;請參閱早期版本的發布說明以取得詳細資訊。
如需更多詳細資訊,請參閱發布說明。
如果您對此發布公告有更正或建議,請將其發送到 pgsql-www@lists.postgresql.org 公共郵件列表。