PostgreSQL 14.1, 13.5, 12.9, 11.14, 10.19, 9.6.24发布!

发表于2021-11-11由PostgreSQL全球开发集团
PostgreSQL项目 安全

金博宝188充值PostgreSQL Global Development Group已发布对我们数据库188 bet下载系统的所有支持版本的更新,包括14.1,13.5,12.9,11.14,10.19和9.6.24。此版本缩短了两个安全漏洞,并在过去三个月内报告了40多个错误。

另外,这是PostgreSQL 9.6的最终发布。如果您在生产环境中运行PostgreSQL 9.6,我们建议您制定计划升级。

有关更改清单,请查看发布说明

安全问题

CVE-2021-23214:服务器从中间人中处理未加密的字节

受影响的版本:9.6 - 14.安全团队通常不会测试不受支持的版本,但此问题非常陈旧。

当服务器配置为使用时信任用A认证clientcert要求或使用证明尽管使用SSL证书验证和加密,但是,身份验证可以在首次建立连接时注入任意SQL查询。

金博宝188充值PostgreSQL项目感谢Jacob Champion报告此问题。

cve - 2021 - 23222libpq处理来自man-in-the-middle的未加密字节

受影响的版本:9.6 - 14.安全团队通常不会测试不受支持的版本,但此问题非常陈旧。

尽管使用SSL证书验证和加密,但是一个中间攻击者可以对客户的前几个查询注入虚假响应。

如果更高的预处理,则攻击者可以抵消客户端的密码或可能在会话早期传输的其他机密数据。攻击者必须有一种方法来欺骗客户的预期服务器,以使攻击者可访问的机密数据。具有该属性的已知实现是PostgreSQL配置容易受到伤害CVE-2021-23214

与任何开采一样CVE-2021-23214,服务器必须使用信任用A认证clientcert要求或使用证明验证。要披露密码,客户必须拥有密码,当使用易受攻击的身份验证配置时,它是不可批量的密码CVE-2021-23214。攻击者必须有其他方法来访问服务器,以检索被窃取的数据(一个有效的、无特权的登录帐户就足够了)。

金博宝188充值PostgreSQL项目感谢Jacob Champion报告此问题。

错误修复和改进

此更新修复了在过去几个月内报告的40多个错误。下面列出的问题影响PostgreSQL 14.其中一些问题也可能影响PostgreSQL的其他支持版本。

其中一些修复包括:

  • 修复了在发送一个以部分WAL记录结束的WAL段后主服务器崩溃的情况下的物理复制。在应用此更新时,请在主服务器之前更新备用服务器,以便当主服务器发生崩溃时,备用服务器能够处理修复。
  • 修正平行真空这样它就会处理下面的索引min_parallel_index_scan_size.如果表具有高于该大小的至少两个索引,则阈值。这个问题不会影响autovacuum。如果您受到此问题的影响,则应重新释放任何手动丢失的表格。
  • 修复原因同时创建索引同时重建索引写损坏索引。您应该reindex任何并发构建的索引。
  • 修复附加/分离可能允许某些的分区插入/更新在积极会议中询问行为不端。
  • 修复创建新的范围类型创建类型这可能导致后来的事件触发或后续执行的问题创建类型命令。
  • 修复域中的域中的元素字段的更新,该字段是复合的一部分。
  • 禁止组合先拿领带更新跳过锁定
  • 修正了数字精度的边角情况损失力量()函数。
  • 修复了在子事务中恢复门户快照可能导致崩溃的问题。例如,在PL/pgSQL中提交紧接着是一个开始...例外执行查询的块。
  • 如果在导出快照后事务发生故障,请正确清理。如果创建复制插槽然后回滚,则可能会发生这种情况,然后在同一会话中创建另一个复制槽。
  • 修复备用服务器上的“溢出 - 子系​​统”串扰跟踪,可能导致性能下降。
  • 确保在备份服务器的推广过程中正确考虑了准备的事务。
  • 确保在重命名表时使用正确的锁定级别。
  • 当删除拥有被删除对象的角色时,避免崩溃。
  • 不允许设置huge_pages在时间shared_memory_type.SYSV
  • 修复PL/pgSQL中的查询类型检查问题返回查询
  • 几个补丁pg_dump,包括正确转储非全局默认权限的能力。
  • 使用CLDR项目的数据将Windows时区名称映射到IANA时区。

该更新还包含tzdata release 2021e,用于修改斐济、约旦、巴勒斯坦和萨摩亚的夏令时法,以及巴巴多斯、库克群岛、圭亚那、纽埃、葡萄牙和汤加的历史修正。

此外,Pacific / Ederbury区已被重新命名为Pacific / Kanton。此外,自1970年以来,以下区域已被合并到附近,其时钟已同意的区域:Africa / Accra,Amery / Atikokan,America / Blanc-Sablon,America / Creston,America / Curacao,America / Nassau,美国/ Port_of_Spain,南极洲/德米特德尔维尔和南极洲/迈威达。在所有这些情况下,先前的区域名称仍然是别名。

有关可用的完整更改列表,请查看发布说明

PostgreSQL 9.6为EOL

这是PostgreSQL 9.6的最终版本。如果您在生产环境中运行PostgreSQL 9.6,我们建议您计划升级到一个更新的、受支持的PostgreSQL版本。请参阅我们的版本控制政策想要查询更多的信息。

更新

所有PostgreSQL更新版本都是累积的。与其他次要版本一样,用户不需要转储和重新加载其数据库或使用pg_upgrade.为了应用此更新版本;您可以简单地关闭PostgreSQL并更新其二进制文件。

跳过一个或多个更新版本的用户可能需要运行额外的更新后步骤;详情请参阅早期版本的发布说明。

有关更多详细信息,请参阅发布说明

链接