安全信息

如果您希望报告PostgreSQL的新安全漏洞,请发送电子邮件至security@postgresql.org.若要报告非安全性错误,请参阅报告错误页面。

金博宝188充值PostgreSQL全球开发组(PGDG)非常重视安全性,允许我们的用户信任围绕PostgreSQL构建的网站和应用程序。我们的方法包括故障安全配置选项、安全可靠的数据库服务器以及与其他安全基础设施软件的良好集成。

PostgreSQL安全更新主要以以下方式提供:小版本升级。建议您使用最新的小版本,因为它可能还包含其他与安全无关的修复程序。所有已知的安全问题都将在下一个主要版本发布时得到修复。

PGDG认为,安全信息的准确性、完整性和可用性对我们的用户至关重要。我们选择在这个页面上汇集所有的信息,允许通过一系列标准轻松搜索漏洞。

漏洞列出了它们出现在哪些主要版本中,以及每个版本的修复版本。如果该漏洞在没有有效登录的情况下可被利用,则也会说明这一点。它们还列出了一个漏洞类别,但我们敦促所有用户阅读描述,以确定该漏洞是否影响特定的安装。

已知的安全问题在所有支持的版本

您可以筛选修补程序视图,以仅显示版本的修补程序:
14-13-12-11-10-118bet金博宝

参考 影响 固定 组件&CVSS v3基本分数 描述
cve - 2021 - 32029
公告
13日,12日,11 13.3, 12.7, 11.12 核心服务器
6.5
AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:N: N
分区表UPDATE中的内存泄露…返回

更多的细节
cve - 2021 - 32028
公告
13,12,11,10 13.3, 12.7, 11.12, 10.17 核心服务器
6.5
AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:N: N
Memory disclosure in INSERT…在冲突……做更新

更多的细节
cve - 2021 - 32027
公告
13,12,11,10 13.3, 12.7, 11.12, 10.17 核心服务器
6.5
AV: N /交流:L /公关:L / UI: N / S: U / C: N /我:H: N
数组下标计算中的整数溢出导致的缓冲区溢出

更多的细节
cve - 2021 - 23222
公告
14,13,12,11,10 14.1, 13.5, 12.9, 11.14, 10.19 客户端
3.7
AV: N /交流:H /公关:UI: N / N / S: U / C: L /我:N: N
Libpq处理来自中间人的未加密字节

更多的细节
cve - 2021 - 23214
公告
14,13,12,11,10 14.1, 13.5, 12.9, 11.14, 10.19 核心服务器
8.1
影音:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
服务器处理来自中间人的未加密字节

更多的细节
cve - 2021 - 20229
公告
13 13.2 核心服务器
3.1
AV: N /交流:H /公关:L / UI: N / S: U / C: L /我:N: N
单列选择权限允许读取所有列

更多的细节
cve - 2021 - 3677
公告
13日,12日,11 13.4, 12.8, 11.13 核心服务器
6.5
AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:N: N
某些查询中的内存泄露

更多的细节
cve - 2021 - 3393
公告
13日,12日,11 13.2, 12.6, 11.11 核心服务器
3.1
AV: N /交流:H /公关:L / UI: N / S: U / C: L /我:N: N
分区约束冲突错误泄漏被拒绝列的值

更多的细节
cve - 2020 - 25696
公告
13,12,11,10 13.1, 12.5, 11.10, 10.15 客户端
7.5
AV: N /交流:H /公关:N / UI: R / S: U / C: H /我:H: H
Psql的\gset允许覆盖经过特殊处理的变量

更多的细节
cve - 2020 - 25695
公告
13,12,11,10 13.1, 12.5, 11.10, 10.15 核心服务器
8.8
影音:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
多个功能逃脱“安全限制操作”沙箱

更多的细节
cve - 2020 - 25694
公告
13,12,11,10 13.1, 12.5, 11.10, 10.15 客户端
8.1
影音:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
重新连接会降低连接安全设置

更多的细节
cve - 2020 - 14350
公告
12日,11日,10 12.4, 11.9, 10.14 核心服务器
7.1
AV: N /交流:H /公关:L / UI: R / S: U / C: H /我:H: H
CREATE EXTENSION中的不受控搜索路径元素

更多的细节
cve - 2020 - 14349
公告
12日,11日,10 12.4, 11.9, 10.14 核心服务器
7.5
影音:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
逻辑复制中不受控制的搜索路径元素

更多的细节
cve - 2020 - 10733
公告
12日,11日,10 12.3, 11.8, 10.13 包装
6.7
影音:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Windows安装程序从不受控制的目录运行可执行文件

更多的细节
cve - 2020 - 1720
公告
12日,11日,10 12.2, 11.7, 10.12 核心服务器
3.1
AV: N /交流:H /公关:L / UI: N / S: U / C: N /我:L /答:N
改变取决于扩展是否缺少授权检查。

更多的细节
cve - 2019 - 10211
公告
11日10 11.5, 10.10 包装
7.8
影音:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
绑定了OpenSSL的Windows安装程序从未受保护的目录执行代码

更多的细节
cve - 2019 - 10210
公告
11日10 11.5, 10.10 包装
6.7
影音:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Windows安装程序将超级用户密码写入未受保护的临时文件

更多的细节
cve - 2019 - 10209
公告
11 11.5 核心服务器
3.1
AV: N /交流:H /公关:L / UI: N / S: U / C: L /我:N: N
哈希子计划的交叉类型比较中的内存披露

更多的细节
cve - 2019 - 10208
公告
11日10 11.5, 10.10 核心服务器
7.5
影音:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
pg_temp中的TYPE在SECURITY DEFINER执行期间执行任意SQL

更多的细节
cve - 2019 - 10164
公告
11日10 11.4, 10.9 核心服务器
7.5
影音:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
通过设置密码实现基于堆栈的缓冲区溢出

更多的细节
cve - 2019 - 10130
公告
11日10 11.3, 10.8 核心服务器
3.1
AV: N /交流:H /公关:L / UI: N / S: U / C: L /我:N: N
选择性估计器绕过行安全策略

更多的细节
cve - 2019 - 10129
公告
11 11.3 核心服务器
6.5
AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:N: N
分区路由中的内存泄露

更多的细节
cve - 2019 - 10128
公告
11日10 11.3, 10.8 包装
7.0
AV: L /交流:H /公关:L / UI: N / S: U / C: H /我:H: H
EnterpriseDB Windows installer未清除允许的ACL条目

更多的细节
cve - 2019 - 10127
公告
11日10 11.3, 10.8 包装
7.0
AV: L /交流:H /公关:L / UI: N / S: U / C: H /我:H: H
BigSQL Windows安装程序不清除允许的ACL条目。

更多的细节
CVE-2019-3466
公告
12日,11日,10 12.1, 11.6, 10.11 包装
8.4
影音:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
postgresql-common中的Pg_ctlcluster脚本在创建socket/statistics临时目录时不会删除权限

更多的细节
CVE-2018-16850
公告
11日10 11.1, 10.6 核心服务器
8.8
影音:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
SQL注入pg_upgrade和pg_dump,通过CREATE TRIGGER…引用。

更多的细节
cve - 2018 - 10925
公告
10 10.5 核心服务器
7.1
AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:L /答:N
Memory disclosure and missing authorization in INSERT…发生冲突时要及时更新。

更多的细节
cve - 2018 - 10915
公告
10 10.5 客户端
8.5
AV: N /交流:H /公关:L / UI: N / S: C / C: H /我:H: H
某些主机连接参数会破坏客户端安全防御

更多的细节
cve - 2018 - 1115
公告
10 10.4 contrib模块
3.1
AV: N /交流:H /公关:L / UI: N / S: U / C: N /我:L /答:N
函数pg_logfile_rotate()上的访问控制列表过于允许

更多的细节
cve - 2018 - 1058
公告
10 10.3 客户端
8.8
影音:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
pg_dump和其他客户端应用程序中的不受控搜索路径元素

更多的细节
cve - 2018 - 1053
公告
10 10.2 客户端
6.7
影音:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Pg_upgrade在当前umask下创建敏感元数据文件

更多的细节
cve - 2018 - 1052
公告
10 10.2 核心服务器
6.5
AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:N: N
表分区中的内存泄漏

更多的细节
cve - 2017 - 15099
公告
10 10.1 核心服务器
3.1
AV: N /交流:H /公关:L / UI: N / S: U / C: L /我:N: N
插入……ON CONFLICT DO UPDATE执行SELECT权限失败

更多的细节
cve - 2017 - 15098
公告
10 10.1 核心服务器
4.3
AV: N /交流:L /公关:L / UI: N / S: U / C: L /我:N: N
JSON函数中的内存公开

更多的细节
cve - 2017 - 12172
公告
10 10.1 contrib模块
8.4
影音:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
启动脚本允许数据库管理员修改根用户拥有的文件

更多的细节

不支持的版本

您还可以查看不支持版本的归档安全补丁。请注意,由于这些版本的生命已经结束,因此没有进一步的安全补丁可用。
9.6-9.5-9.4-9.3-9.2-9.1-9-8.4-8.3-8.2-8.1-8-7.4-7.3

组件

上表中使用了以下组件引用:

组件 描述
核心服务器 此漏洞存在于核心服务器产品中。
客户端 此漏洞仅存在于客户端库或客户端应用程序中。
contrib模块 contrib模块中存在此漏洞。从源代码安装PostgreSQL时,默认情况下不安装Contrib模块。它们可以通过二进制软件包安装。
客户端模块 此漏洞存在于仅在客户端使用的contrib模块中。
包装 此漏洞存在于PostgreSQL二进制包中,例如安装程序或RPM。