PostgreSQL 15.3、14.8、13.11、12.15 和 11.20 发布


PostgreSQL 全球开发组针对当前所有被支持版本发布了一次更新,版本包括:15.3、14.8、13.11、12.15 和 11.20此版本修复了两个安全漏洞并修复了过去几个月报告的 80 多个 bug

CVE-2023-2454:CREATE SCHEMA ... schema_element破坏保护性 search_path 更改。

受影响的版本:11 - 15。

这使具有数据库级CREATE权限的攻击者能够以 bootstrap 超级用户身份执行任意代码。默认情况下,数据库所有者拥有该权利,并且显式授权可以将其扩展到其他用户。

CVE-2023-2455:行安全策略忽略内联后的用户 ID 更改。

受影响的版本:11 - 15。

虽然 CVE-2016-2193 修复了行安全性和用户 ID 更改之间的大部分交互,但它遗漏了涉及函数内联的场景。在使用特定于角色的策略并且给定查询在一个角色下计划然后在其他角色下执行的情况下,这会导致应用可能不正确的策略。这种情况可能发生在 security definer functions 下,或者当最初计划一个普通用户和查询然后跨多个 SET ROLE 重新使用时。应用不正确的策略可能允许用户完成其他被禁止的读取和修改。这仅影响那些使用 CREATE POLICY 定义行安全策略的数据库。

错误修复和改进

 

下面列出的问题影响 PostgreSQL 15,其中一些问题也可能影响其他支持的 PostgreSQL 版本。

  •  当使用STRATEGY = WAL_LOG时,对CREATE DATABASE进行了一些修复,包括可能丢失对模板/源数据库修改的潜在损坏。
  • 修复了CREATE SCHEMA AUTHORIZATION的崩溃。
  • MERGE的几个修复程序。
  • 对分区表中的触发器进行了多项修复。
  • 不允许更改存储在索引中的复合类型。
  • 确保从启用了row-level security 的父表中COPY TO时,不会从子表复制任何行。
  • 调整文本搜索相关的字符分类逻辑,在数据库默认排序规则使用 provider 时,正确检测当前语言环境是否为 C。
  • 重新允许在 ISO-8601 区间字段中使用指数符号。
  • 改进各种无效 JSON 字符串文字的错误报告。
  • 修复由于vacuum_defer_cleanup_age大于当前 64 位 xid 而导致的数据损坏。
  • 查询解析器和规划器的几个修复,包括更好地检测不正确嵌套的聚合。
  • 修复了在 booleanIS NOT TRUEIS NOT FALSE 条件下的 partition pruning bug。在此之前,NULL partitions 会被意外地剪除。
  • 修复 memoize plan execution 中的内存泄漏。
  • 修复在执行分批插入时使用分区的外域表的缓冲区 refcount 泄漏。
  • 恢复对 sub-millisecondvacuum_cost_delay设置的支持。
  • 视图和规则的几个修复 。
  • 在使用多个扫描键扫描多列时避免不必要的工作。在扫描具有多个扫描键的多列 BRIN 索引时,避免不必要的工作。
  • UPDATEDELETE操作的逻辑复制期间忽略丢弃的列和生成的列 。
  • 对等待事件的命名和可用性进行了多项修复。
  • 支持带有 SCRAM-SHA-256 通道绑定的 RSA-PSS 证书 。此功能需要使用 OpenSSL 1.1.1 或更新版本构建。
  • 修复会话中使用 cast expressions 的 PL/pgSQL DO块的内存泄漏。
  • 在将列表结构转换为多维 SQL 数组时,加强 PL/Perl 和 PL/Python 的数组维数检查。
  • 修复了pg_dump,以便可以成功恢复在枚举类型列上进行 hash-partitioned 的分区表 。
  • 修复了pg_trgm使用 GiST 或 GIN 索引时无法满足的正则表达式可能导致崩溃的问题。
  • 限制pg_walinspect中的pg_get_wal_records_info()内存使用。

此版本还将时区数据文件更新为 tzdata 版本 2023c,以适应埃及、格陵兰、摩洛哥和巴勒斯坦的 DST 法律变更。在遵守莫斯科时间时,Europe/Kirov 和 Europe/Volgograd 现在使用缩写 MSK/MSD 而不是数字缩写,以与遵守莫斯科时间的其他时区保持一致。此外,America/Yellowknife 不再区别于 America/Edmonton;这会影响该地区的一些 1948 年之前的时间戳。

有关可用更改的完整列表,可查看 发行说明。

下载地址:https://www.postgresql.org/download/


相關推薦

2023-06-11

用 Pigsty 部署 PG 15.3 , 14.8, 13.11, 12.15, 与 16 beta1。v2.1 针对 PostgreSQL 16 进行了适配,改进了监控系统效果,添加了一系列便利命令工具,建议按需升级。 具体更新内容包括: Highlight PostgreSQL 16 beta 支持,以及 12 ~ 15 支持。 添

2022-12-16

OAuthApp 是一个前端发布工具,用于快速开发前端网页项目,并发布到服务器。 具有引入脚本库就能使用服务端 API 在线发布 H5,数据独立存储的特性 更新内容: 1,新增角色/权限管理,可自定义角色、分配权限 截图:

2022-12-04

SUSE 的工程主管 Marcus Meissner 在官网发布公告,宣告 openSUSE Leap 15.3 的生命周期即将结束,推荐用户尽快升级。 SUSE Linux Enterprise Server 15 SP3 将于 2022 年 12 月 31 日结束其常规维护和支持阶段。由于 openSUSE Leap 15.3 使用了 SLES 15 S

2022-08-26

GitLab 15.3 已正式发布。新版本包含 63 项改进,亮点包括: 支持在 issue 中创建任务 (task) 免费提供 GitOps 功能 SAML 组链接 API 高级密码复杂度要求 另外值得注意的是,在 15.3 发布的同时,11.3-15.1.4,15.2.x 和 15.3.0 被曝出

2024-10-04

hain, LlamaIndex, Dify,以及 Chatbox。 🎉Xinference v0.15.3 发布,本次带来的更新如下: 📚 更新指南 * 📦 pip:pip install 'xinference==0.15.3’ * 🐳 Docker:拉取最新版本即可,也可以直接在镜像内用 pip 更新 📝 更新日志 * 🆕 新

2024-08-15

387.4Mb 111Mb 55Mb 13.9Mb 测试后状态/并发 13.5万 14.8万 11.5万 11万 与 Go 的框架比较,我们的表现也非常优秀! 测试视频 https://www.bilibili.com/video/BV1ur421p7iu/ 3、 Solon 架构图 Solon 生态体系 Solon Cloud

2023-09-12

进|2023 Google 开发者大会精彩演讲回顾 Scala 2.13.11 现已发布。这是一门现代的多范式编程语言,志在以简练、优雅及类型安全的方式来表达常用编程模式。此版本更新亮点如下: Collections 更快的Vectorconcatenation(#10159)

2022-06-09

openSUSE Leap 15.4 已发布,openSUSE 是基于企业发行版 SUSE Linux Enterprise (SLE) 的社区发行版。 Leap 15.4 的新功能是 Leap Micro 5.2。Leap Micro 是一个现代轻量级操作系统,非常适合主机容器和虚拟化工作负载。Leap Micro 非常适合分散式计算

2022-08-29

36 Gentoo Linux SUSE Linux Enterprise server 12 和 15 openSUSE Leap 15.3 测试版下载链接:https://download.virtualbox.org/virtualbox/7.0.0_BETA1/

2023-03-21

腾讯发布了一份《2022 年腾讯研发大数据报告》(简称《报告》)。该《报告》由腾讯技术委员会出品,全面披露了 2022 年腾讯在研发投入、研发效能、开源协同等方面的重要数据。 研发人员占比达 74%,Go 语言蝉联腾讯最热编

2022-05-21

PostgreSQL 15 的第一个 beta 版本现已可供下载。公告指出,此版本包含 PostgreSQL 15 普遍可用时将提供的所有功能的预览,但该版本的某些细节可能会在测试期间发生变化。 本着开源 PostgreSQL 社区的精神,官方建议用户在系统上测

2022-08-16

PostgreSQL 全球开发组针对当前所有被支持版本发布了一次更新,版本包括:14.5、13.8、12.12、11.17 和 10.22,以及 PostgreSQL 15 的第三个 beta 版本。此版本关闭了一个安全漏洞并修复了过去三个月报告的 40 多个错误。 PostgreSQL 10 EOL Upc

2023-10-17

开放与创新:CLup软件开源版正式发布!为您带来开源版PostgreSQL数据库高可用解决方案 随着PostgreSQL的日益普及,对于高效、稳定和易用的数据库管理软件的需求也日渐增加。我们很高兴地宣布,经过多年精心设计与开发,中

2023-11-30

个开源数据库,旨在使 SQL 可扩展到时间序列数据,基于 PostgreSQL 构建的,并打包为 PostgreSQL 扩展程序,提供跨时间和空间的自动分区,以及完整的 SQL 支持。 TimescaleDB 2.13.0 现已发布,此版本包含自 2.12.2 版本以来的性能改进、