PgBouncer 1.24.1 已发布。此版本修复了 CVE-2025-2291 漏洞,该漏洞可能允许攻击者绕过 PostgreSQL 的密码过期机制。此类密码过期是通过 PostgreSQL 中的 VALID UNTIL 子句设置的。这是一个影响所有 PgBouncer 版本的安全问题。如果您同时使用了 VALID UNTIL 和 auth_user,则应进行升级,或将配置文件中的 auth_query 更改为本版本默认使用的新 auth_query。如果您使用了自定义的 auth_query,则应将其更新为与本版本中新的默认 auth_query 类似的形式。
此版本还通过撤销对 HBA 文件中 pam 的支持来修复了 PAM 认证问题。PAM 认证在 1.24.0 版本中被意外破坏。
更多信息、详细变更日志和下载链接,请访问 https://www.pgbouncer.org/2025/04/pgbouncer-1-24-1。
PgBouncer 是一款轻量级的 PostgreSQL 连接池工具。