PostgreSQL 于近日为受支持的各个版本发布了更新,其中包括 PostgreSQL 11.4, 10.9, 9.6.14, 9.5.18, 9.4.23 和 12 Beta 2。 此版本是在正常更新发布计划之外进行的,主要是用于修复安全问题,这也侧面反映了这些问题的严重性,建议各位尽快升级到对应的版本。 安全问题此版本关闭了一个安全漏洞:
受影响版本:10, 11, 12 beta 经过身份验证的用户可以通过将自己的密码更改为特殊值来创建基于堆栈的缓冲区溢出。除了会导致 PostgreSQL 服务器崩溃之外,还可以利用他针对 PostgreSQL 系统帐户,以执行任意代码。 此外,恶意服务器可以在 SCRAM 身份验证过程中发送特制的消息,并导致启用 libpq 的客户端崩溃或针对客户端的操作系统帐户执行任意代码。 官方建议所有运行 PostgreSQL 10,11 和 12 beta 的用户尽快升级。 详细更新请查看 https://www.postgresql.org/about/news/1949/ |
