安全问题修复:
- CVE-2020-10733: Windows 安装程序从无权限的目录中运行可执行文件
受影响版本:9.5 - 12。安全团队没有对不受支持的版本进行测试,但这个问题在 PostgreSQL 9.5 之前就已存在。
PostgreSQL 的 Windows 安装程序会调用系统提供的可执行文件,这些可执行文件没有完全限定的路径。对于安装程序加载的目录中的可执行文件或当前工作目录中的可执行文件优先于预期的可执行文件,有权限将文件添加到这些目录中的攻击者可以利用这一点,通过安装程序的管理权限执行任意代码。
本次更新还修复了过去几个月社区反馈的错误。其中一些问题仅影响版本 12,但也可能影响所有受支持的版本。
部分错误修复如下:
- 当分区继承了 ROW 触发器时,允许将其拆离
- 修复浮点上溢/下溢检测中的性能回归问题
- 针对全文搜索提供多项修复程序,尤其是在使用词组搜索的场景
- 针对逻辑复制和 replication slots 的多项修复
- 修复 information_schema.triggers 视图中的性能回归问题
- 修复使用
sslmode=verify-full时,libpq 中出现的内存泄漏问题 - 修复
psql尝试重新建立失败的连接时出现崩溃的问题 - 为
ALTER ... DEPENDS ON EXTENSION添加pg_dump支持 - ……
详情查看更新说明。
下载地址:https://www.postgresql.org/download/
