PostgreSQL 安全相关 社区相关 社区会议 其他会议 相关开源软件 用户组 PG 每周新闻 专有软件
发布于 2025-04-21,PgBouncer
安全相关 相关开源软件
PgBouncer 1.24.1 已发布。此版本修复了 CVE-2025-2291 漏洞,该漏洞可能允许攻击者绕过 PostgreSQL 的密码过期机制。此类密码过期是通过 PostgreSQL 中的 VALID UNTIL 子句设置的。这是一个影响所有 PgBouncer 版本的安全问题。如果您同时使用了 VALID UNTIL 和 auth_user,则应进行升级,或将配置文件中的 auth_query 更改为本版本默认使用的新 …
阅读更多...
发布于 2025-02-13,PostgreSQL Global Development Group
PostgreSQL 安全相关
PostgreSQL 全球开发组已发布所有受支持 PostgreSQL 版本的更新,包括 17.3、16.7、15.11、14.16 和 13.19。此版本修复了 1 个安全漏洞以及过去几个月报告的 70 多个错误。 完整变更列表请查阅发行说明。 安全问题 CVE-2025-1094:PostgreSQL 引用 API 未能在编码验证失败的文本中正确转义引用语法 CVSS v3.1 基础评分:8.1 …
阅读更多...
发布于 2022-11-23,JDBC Project
安全相关 相关开源软件
PostgreSQL JDBC 团队发布了 42.5.1、42.4.3、42.3.8、42.2.27.jre7 版本,以修复安全问题 CVE-2022-41946。(注意:42.2.26.jre6 没有修复版本,请参阅安全公告了解替代方案。) 该问题仅在使用 PreparedStatement.setText() 或 PreparedStatement.setBytea() 且 String 或 bytea 参数大于 51200 字节时才会出现。此时驱动程序会将数据缓存到磁盘,并创建一个临时文件,在之前的版本中该文件可能被客户端系统上的其他用户读取。请注意,此问题仅影响类 Unix 系统。详情请参阅安全公告 …
阅读更多...
发布于 2022-08-15,JDBC Project
安全相关 相关开源软件
PostgreSQL JDBC 团队发布了 42.2.26 和 42.4.1 版本,修复了一个安全漏洞:CVE-2022-31197。此问题仅在使用 ResultSet.refreshRow() 时存在。 此前,表中键列和数据列的列名会原样复制到生成的 SQL 中。这使得包含语句终止符的恶意列名可能被解析并执行为多条独立的命令。关于此安全公告的更多信息请参阅此处 (https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2)。 感谢 Sho Kato https://github.com/kato-sho 发现并报告了此问题。 此致, pgjdbc …
阅读更多...
发布于 2022-08-11,PostgreSQL Global Development Group
PostgreSQL 安全相关
PostgreSQL 全球开发组发布了所有受支持版本的更新,包括 14.5、13.8、12.12、11.17 和 10.22,以及 PostgreSQL 15 的第三个 Beta 版本。本次发布修复了一个安全漏洞以及过去三个月报告的 40 多个 Bug。 完整变更列表请查阅发布说明 (https://www.postgresql.org/docs/release/)。 PostgreSQL 10 即将停止支持 PostgreSQL 10 …
阅读更多...
发布于 2022-05-12,PostgreSQL Global Development Group
PostgreSQL 安全相关
PostgreSQL 全球开发组发布了所有受支持 PostgreSQL 版本的更新,包括 14.3、13.7、12.11、11.16 和 10.21。本次发布修复了一个安全漏洞以及过去三个月报告的 50 多个 Bug。 我们建议您尽早安装此更新。 如果您在使用 ltree (https://www.postgresql.org/docs/current/ltree.html) 数据类型的列上有 GiST 索引,升级后需要对其进行重建索引 (https://www.postgresql.org/docs/current/sql-reindex.html)。 完整的变更列表请查看发布说明 (https://www.postgresql.org/docs/release/)。 …
阅读更多...
发布于 2022-03-15,pgAdmin Development Team
安全相关 相关开源软件
pgAdmin 开发团队很高兴地宣布 pgAdmin 4 v6.7 版本发布。本次发布包含 4 项 bug 修复。更多详情请参阅发布说明 (https://www.pgadmin.org/docs/pgadmin4/6.7/release_notes_6_7.html)。 pgAdmin 是 PostgreSQL 领先的开源图形化管理工具。更多信息请访问官方网站 (https://www.pgadmin.org/)。 安全更新 请注意,本次发布包含一项安全更新,修复了在服务器模式下运行 pgAdmin 时,用户可以将文件上传到其存储目录以外的目录的问题。 …
阅读更多...
发布于 2022-02-17,JDBC Project
安全相关 相关开源软件
已为 PostgreSQL JDBC 驱动程序创建了一项安全公告 (https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-673j-qm5f-xpv8)。URL 连接字符串的 loggerFile 属性可能被滥用,在驱动程序加载的系统上创建任意文件。此外,连接字符串中的所有内容都会被记录并写入该文件。在不安全的系统中,攻击者可能通过 Web 服务器执行该文件。 虽然我们不认为这是驱动程序的安全问题,但我们已决定在驱动程序的下一个版本中移除 loggerFile 和 loggerLevel 连接属性。移除这些属性并不意味着向攻击者暴露 JDBC URL 或连接属性是安全的,我们仍然建议应用程序不允许不受信任的用户指定任意连接属性。 我们移除这些属性是为了防止滥用,其功能可以委托给 java.util.logging。变更日志不太有用,因为更改是在安全公告背后完成的。简而言之,loggerFile …
阅读更多...
发布于 2022-02-02,JDBC Project
安全相关 相关开源软件
已为 PostgreSQL JDBC 驱动程序创建了一项安全公告 (https://github.com/advisories/GHSA-v7wg-cpwc-24m4)。该驱动程序提供了根据通过 authenticationPluginClassName、sslhostnameverifier、socketFactory、sslfactory、sslpasswordcallback 连接属性提供的类名来实例化插件实例的功能。 然而,驱动程序在实例化类之前并未验证该类是否实现了预期的接口。 修复方案是确保类实现了预期的接口。此问题已在 42.2.25 和 42.3.2 版本中修复。此外,以下是 42.3.2 中的一些变更,完整变更日志可在此处查看 (https://jdbc.postgresql.org/documentation/changelog.html#version_42.3.2)。 变更 性能优化:在连接时读取 in_hot_standby GUC …
阅读更多...
新闻文章来自 PostgreSQL 项目或其他相关组织投稿。如果您希望分享与 PostgreSQL 相关的新闻,可以在登录后提交您自己的文章以供审核。