PostgreSQL 11 将于 2023 年 11 月 9 日停止接收修复。如果您在生产环境中运行 PostgreSQL 11,我们建议您制定计划升级到更新的受支持版本的 PostgreSQL。
PostgreSQL 发布版本及生命周期
| 版本 | Current minor | 支持 | 首次发布 | 最终版本 |
|---|---|---|---|---|
| 15 | 15.4 | 是的 | 2022 年 10 月 13 日 | 2027 年 11 月 11 日 |
| 14 | 14.9 | 是的 | 2021 年 9 月 30 日 | 2026 年 11 月 12 日 |
| 13 | 13.12 | 是的 | 2020 年 9 月 24 日 | 2025 年 11 月 13 日 |
| 12 | 12.16 | 是的 | 2019 年 10 月 3 日 | 2024 年 11 月 14 日 |
| 11 | 11.21 | 是的 | 2018 年 10 月 18 日 | 2023 年 11 月 9 日 |
| 10 | 10.23 | 不 | 2017 年 10 月 5 日 | 2022 年 11 月 10 日 |
| 9.6 | 9.6.24 | 不 | 2016 年 9 月 29 日 | 2021 年 11 月 11 日 |
安全问题
CVE-2023-39417@substitutions@ :引用中的扩展脚本允许 SQL 注入。
支持的、易受攻击的版本:11 - 15。安全团队通常不会测试不受支持的版本,但这个问题很老了。
如果扩展脚本在引用结构(美元引用、 或 )内使用、 、或,则该扩展脚本容易受到攻击。任何捆绑的扩展都不会受到攻击。易受攻击的用途确实出现在文档示例和非捆绑扩展中。因此,攻击的先决条件是管理员安装了易受攻击的、受信任的、非捆绑扩展的文件。根据该先决条件,这使得具有数据库级 权限的攻击者能够作为引导超级用户执行任意代码。PostgreSQL 将在核心服务器中阻止这种攻击,因此无需修改单个扩展。@extowner@@extschema@@extschema:...@''""CREATE
PostgreSQL 项目感谢 Micah Gate、Valerie Woolard、Tim Carey-Smith 和 Christoph Berg 报告此问题。
CVE-2023-39418:MERGE无法强制执行UPDATE或SELECT行安全策略。
支持的易受攻击版本:15。
PostgreSQL 15 引入了该命令,该命令无法根据为和 MERGE 定义的行安全策略测试新行 。如果 策略禁止策略不禁止的某些行,则用户可以存储此类行。后续后果取决于应用程序。这仅影响用于 定义行安全策略的数据库。UPDATE SELECTUPDATESELECTINSERTCREATE POLICY
PostgreSQL 项目感谢 Dean Rasheed 报告此问题。
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
