PostgreSQL 全球开发组针对当前所有被支持版本发布了一次更新,版本包括:14.5、13.8、12.12、11.17 和 10.22,以及 PostgreSQL 15 的第三个 beta 版本。此版本关闭了一个安全漏洞并修复了过去三个月报告的 40 多个错误。
PostgreSQL 10 EOL Upcoming
PostgreSQL 10 将于 2022 年 11 月 10 日停止接收修复。对于在生产环境中运行 PostgreSQL 10 的用户,官方强烈建议升级到更新的、受支持的 PostgreSQL 版本,以便可以继续接收错误和安全修复。可参阅版本控制政策以获取更多信息。
安全问题
CVE-2022-2625:扩展脚本替换不属于扩展的对象
受影响的版本:10 - 14。安全团队通常不会测试不受支持的版本,但这是一个相当古老的问题。
一些扩展使用CREATE OR REPLACE或CREATE IF NOT EXISTS命令。但是,有些人不遵守 documented rule,只针对已知为扩展成员的对象。攻击需要在至少一个模式中创建非临时对象的权限,能够诱使或等待管理员在该模式中创建或更新受影响的扩展,以及诱使或等待受害者使用CREATE OR REPLACE或CREATE IF NOT EXISTS中的 object targeted。
鉴于所有三个先决条件,攻击者可以作为受害者角色(可能是超级用户)运行任意代码。已知受影响的扩展包括 PostgreSQL 捆绑和非捆绑扩展。PostgreSQL 在核心服务器中阻止了这种攻击,因此无需修改单个扩展。
关于 PostgreSQL 15 Beta 的说明
此版本标志着 PostgreSQL 15 的第三个 beta 版本,并使社区在第三季度末左右暂时向一般可用性迈进了一步。
本着开源 PostgreSQL 社区的精神,官方强烈建议用户在系统上测试 PostgreSQL 15 的新功能,以帮助消除可能存在的错误或其他问题。虽然不建议在生产环境中运行 PostgreSQL 15 Beta 3,但鼓励找到针对此 Beta 版本运行典型应用程序工作负载的方法。
- https://www.postgresql.org/developer/beta/
- https://www.postgresql.org/docs/15/release-15.html
错误修复和改进
此更新修复了过去几个月报告的 40 多个错误。下面列出的问题会影响 PostgreSQL 14,其中一些问题也可能会影响其他受支持的 PostgreSQL 版本:
- 修复了在遇到 missing tablespace directory 时,在备用服务器上重放
CREATE DATABASEwrite-ahead log (WAL) 的问题 。 - 添加对作为普通目录的 tablespaces 的支持,而不是对其他目录的符号链接。
- 修复
CREATE INDEX中的权限检查以使用用户的权限。这修复了依赖于修复 CVE-2022-1552 之前的行为的损坏转储/恢复场景。 - 修复扩展统计的不正确的权限检查代码。
- 修复扩展统计机制以处理布尔值表达式的最常见值 ( MCV ) 类型的统计信息。
- 修复
ALTER TABLE ... ENABLE/DISABLE TRIGGER以处理分区表上触发器的递归。 - 拒绝
ROW()的表达式和FROM中超过 1600 列的函数。 - 修复逻辑复制订阅者中的内存泄漏。
- 安排在
SPI_commit()中清理 commit-time errors,而不是期望 callers 这样做。这包括对 PL/Python 中相同场景的修复,该场景报告了 Python 3.11 的崩溃和旧版本的 Python 3 的内存泄漏。 - 改进 libpq 中对 pipeline mode 下空闲状态的处理。
- 修复
pg_upgrade以检测接受anyarray参数的函数的 non-upgradable usages。 - 一些
postgres_fdw修复,包括在存在WITH CHECK OPTION约束时防止批量插入。 - ......
有关可用更改的完整列表,可查看 发行说明。
下载地址:https://www.postgresql.org/download/