PostgreSQL 13 Beta 3 已发布,同时更新的还有其他几个分支,包括 12.4, 11.9, 10.14, 9.6.19 和 9.5.23。这些版本均修复了安全问题和部分 bug。
PostgreSQL 13 上一个版本 Beta 2 提供了所有特性的预览,详情点此查看。官方没有提到 Beta 3 的具体更新内容,主要还是以 bugfix 为主。
此外,官方还预告了 PostgreSQL 9.5 即将 EOL,并将于2021年2月11日停止提供安全更新。如果在生产环境中运行 PostgreSQL 9.5.x,建议升级到受支持的较新版本,详情查看版本维护政策。
安全团队为 PostgreSQL 9.5-12 版本修复了两个安全漏洞:
- CVE-2020-14349:逻辑复制中存在不受控制的搜索路径(search path)元素(受影响版本:10-12)
PostgreSQL 的search_path设置决定了搜索表、函数和运算符等的模式。CVE-2018-1058 修复程序导致大多数 PostgreSQL 提供的客户端应用程序被清除search_path,但逻辑复制继续让search_path保持不变。复制发布者或订阅者数据库的用户可以在public模式中创建对象,并利用它们在运行复制的身份下执行任意 SQL 函数(通常以超级用户的身份)。但如果采用了文档化的 secure schema 使用模式进行安装则不容易受到攻击。
- CVE-2020-14350:
CREATE EXTENSION中存在不受控制的搜索路径元素(受影响版本:9.5-12)
安全团队通常不会测试不支持的版本,但是这个问题已经非常陈旧。具体来说就是,当超级用户运行某些CREATE EXTENSION语句时,用户可能能够以该超级用户的身份执行任意 SQL 函数。
除了上面提到的更新,这些版本还修复了过去几个月里来自社区反馈的 50 多个错误,其中一些问题仅影响版本 12,但许多问题影响所有受支持的版本,详情查看发布公告。
按照发布计划,PostgreSQL 13 Beta 3 之后还有其他 beta 版本,然后发布一个或多个候选版本,直到 2020 年底发布最终版本。