安全資訊

PostgreSQL 全球開發組 (PGDG) 認真對待安全問題。這使得我們的使用者可以信賴 PostgreSQL 來保護他們關鍵任務的資料。

PostgreSQL 全球開發組遵循一種模型，該模型在 PostgreSQL 本身及其部署環境（包括硬體、作業系統和應用程式層（程式語言、框架和客戶端庫））之間共享責任。PostgreSQL 文件提供了有關 PostgreSQL 的固有安全功能以及如何安全配置和執行 PostgreSQL 的資訊。

PostgreSQL 及 PostgreSQL 生態系統內的軟體（包括客戶端庫、擴充套件、安裝程式和其他實用程式）都可能存在安全漏洞。本頁面將介紹 PostgreSQL 中的安全漏洞被視為什麼、如何報告 PostgreSQL 安全漏洞以及如何釋出安全漏洞的修復程式。

請注意，PostgreSQL 專案不提供 Bug 賞金。

CVE 編號機構

PostgreSQL 專案是 CVE 編號機構 (CNA)，與 Red Hat 合作作為我們的 CNA 根機構。這使我們能夠分配自己的 CVE 編號併發布 PostgreSQL 和密切相關專案的 CVE 記錄。

目前，我們將根據請求，為以下專案分配 CVE 編號，請傳送電子郵件至 cna@postgresql.org

• PostgreSQL
• PostgreSQL RPM 打包
• PostgreSQL DEB 打包
• PostgreSQL Windows/macOS 安裝程式 (EDB)
• pgJDBC
• psqlODBC
• pgAdmin
• PgBouncer

其他專案可以透過傳送電子郵件至 cna@postgresql.org 來請求包含在上述列表中。

注意：安全團隊僅在專案成員請求時為專案分配 CVE。如果您認為您在 PostgreSQL 或其軟體包和安裝程式以外的專案中發現了安全問題，請聯絡該專案的安全團隊。有關更多詳細資訊，請參見下文。

PostgreSQL 中的安全漏洞是什麼？

PostgreSQL 中的安全漏洞是指允許使用者獲取他們無權使用的特權或資料的事件，或者允許使用者透過 PostgreSQL 程序執行任意程式碼的事件。

PostgreSQL 安全團隊不認為 PostgreSQL 超級使用者執行的操作是安全漏洞。但是，關於非特權使用者升級為超級使用者的報告通常符合條件。

PostgreSQL 安全團隊通常不認為來自已認證的有效 SQL 語句的 PostgreSQL 伺服器的拒絕服務 (denial-of-service) 是安全漏洞。此類性質的拒絕服務問題仍然可能是Bug，我們鼓勵您在報告 Bug 頁面上報告。

請不要報告 postgresql.org 郵件列表上缺少 DMARC。這是設計使然。

報告 PostgreSQL 安全漏洞

對於 PostgreSQL 或從PostgreSQL 下載頁面連結的任何安裝程式中的安全漏洞，請傳送電子郵件至 security@postgresql.org。

要報告非安全 Bug，請訪問報告 Bug 頁面。

如果您不確定某個問題是否是安全漏洞，請謹慎行事，併發送電子郵件至 security@postgresql.org。

報告非 PostgreSQL 安全漏洞

有關如何報告 PostgreSQL 相關專案中的安全漏洞，請參見下文。

• 對於PostgreSQL JDBC 驅動程式中的安全漏洞，請傳送電子郵件至 pgsql-jdbc-security@lists.postgresql.org。
• 對於pgAdmin中的安全漏洞，請傳送電子郵件至 security@pgadmin.org。
• 如果您希望報告 PostgreSQL 生態系統中任何其他開源專案（例如驅動程式、擴充套件或安裝程式）的安全漏洞，並且需要安全通訊渠道，請傳送電子郵件至 security@postgresql.org。

PostgreSQL 安全釋出

PostgreSQL 專案將安全修復程式作為次要版本更新的一部分發布。我們始終建議使用可用的最新次要版本，因為它將包含其他與安全無關的修復程式。

包含新功能的新 PostgreSQL 主版本，已包含之前所有的安全修復程式。

如果您發現 PostgreSQL 中的安全漏洞，PostgreSQL 安全團隊將在發行說明中為您署名，併為該漏洞註冊 CVE。請勿獨立於 PostgreSQL 安全團隊註冊 CVE。

PostgreSQL 安全通知

要接收有關安全釋出或其他安全相關新聞的通知，您可以訂閱pgsql-announce郵件列表。如果您將訂閱設定為僅包含Security標籤，則會排除傳送到此列表的所有其他公告。

已知的 PostgreSQL 安全漏洞

PostgreSQL 全球開發組認為，安全資訊的準確性、完整性和可用性對我們的使用者至關重要。我們選擇將所有資訊集中在此頁面上，以便根據各種標準輕鬆搜尋安全漏洞。這包括

• 安全漏洞存在於哪些主要版本中
• 安全漏洞在哪個次要版本更新中得到修復
• 是否需要有效的登入才能利用漏洞
• CVSS 分數

您可以點選下方表格中的連結，獲取有關安全漏洞的更詳細資訊。

PostgreSQL 18 中已知的 PostgreSQL 安全漏洞

您可以過濾補丁檢視，僅顯示版本補丁
18 - 17 - 16 - 15 - 14 - 13 - 全部

參考	受影響	已修復	元件 & CVSS v3 基本分數	描述

不受支援的版本

您還可以檢視不受支援版本的已存檔安全補丁。請注意，這些版本已到達生命週期終點，不再提供安全補丁。
12 - 11 - 10 - 9.6 - 9.5 - 9.4 - 9.3 - 9.2 - 9.1 - 9.0 - 8.4 - 8.3 - 8.2 - 8.1 - 8.0 - 7.4 - 7.3

元件

上述表格中使用的以下元件參考

元件	描述
核心伺服器	此漏洞存在於核心伺服器產品中。
客戶端	此漏洞僅存在於客戶端庫或客戶端應用程式中。
contrib 模組	此漏洞存在於 contrib 模組中。從原始碼安裝 PostgreSQL 時，contrib 模組預設不安裝。它們可能由二進位制包安裝。
客戶端 contrib 模組	此漏洞存在於僅在客戶端使用的 contrib 模組中。
打包	此漏洞存在於 PostgreSQL 二進位制打包中，例如安裝程式或 RPM。

PostgreSQL 安全團隊

PostgreSQL 安全團隊由 PostgreSQL 專案的一組貢獻者組成，他們在資料庫和資訊安全的各個方面都具有經驗。

您可以在此處找到安全團隊成員列表

• Álvaro Herrera
• Andres Freund
• Andrew Dunstan
• Bruce Momjian
• Dave Page
• Greg Stark
• Heikki Linnakangas
• Joe Conway
• Jonathan Katz
• Magnus Hagander
• Michael Paquier
• Nathan Bossart
• Noah Misch
• Peter Eisentraut
• Robert Haas
• Stefan Kaltenbrunner
• Tom Lane