PostgreSQL 11 将于2023年11月9日停止官方支持
PostgreSQL 11 将于 2023 年 11 月 9 日停止接收修复。如果您在生产环境中运行 PostgreSQL 11,我们建议您制定计划升级到更新的受支持版本的 PostgreSQL。
PostgreSQL 发布版本及生命周期
版本 | Current minor | 支持 | 首次发布 | 最终版本 |
---|---|---|---|---|
15 | 15.4 | 是的 | 2022 年 10 月 13 日 | 2027 年 11 月 11 日 |
14 | 14.9 | 是的 | 2021 年 9 月 30 日 | 2026 年 11 月 12 日 |
13 | 13.12 | 是的 | 2020 年 9 月 24 日 | 2025 年 11 月 13 日 |
12 | 12.16 | 是的 | 2019 年 10 月 3 日 | 2024 年 11 月 14 日 |
11 | 11.21 | 是的 | 2018 年 10 月 18 日 | 2023 年 11 月 9 日 |
10 | 10.23 | 不 | 2017 年 10 月 5 日 | 2022 年 11 月 10 日 |
9.6 | 9.6.24 | 不 | 2016 年 9 月 29 日 | 2021 年 11 月 11 日 |
安全问题
CVE-2023-39417@substitutions@
:引用中的扩展脚本允许 SQL 注入。
支持的、易受攻击的版本:11 - 15。安全团队通常不会测试不受支持的版本,但这个问题很老了。
如果扩展脚本在引用结构(美元引用、 或 )内使用、 、或,则该扩展脚本容易受到攻击。任何捆绑的扩展都不会受到攻击。易受攻击的用途确实出现在文档示例和非捆绑扩展中。因此,攻击的先决条件是管理员安装了易受攻击的、受信任的、非捆绑扩展的文件。根据该先决条件,这使得具有数据库级 权限的攻击者能够作为引导超级用户执行任意代码。PostgreSQL 将在核心服务器中阻止这种攻击,因此无需修改单个扩展。@extowner@
@extschema@
@extschema:...@
''
""
CREATE
PostgreSQL 项目感谢 Micah Gate、Valerie Woolard、Tim Carey-Smith 和 Christoph Berg 报告此问题。
CVE-2023-39418:MERGE
无法强制执行UPDATE
或SELECT
行安全策略。
支持的易受攻击版本:15。
PostgreSQL 15 引入了该命令,该命令无法根据为和 MERGE 定义的行安全策略测试新行 。如果 策略禁止策略不禁止的某些行,则用户可以存储此类行。后续后果取决于应用程序。这仅影响用于 定义行安全策略的数据库。UPDATE SELECTUPDATE
SELECT
INSERT
CREATE POLICY
PostgreSQL 项目感谢 Dean Rasheed 报告此问题。
免责声明:
1、本站资源由自动抓取工具收集整理于网络。
2、本站不承担由于内容的合法性及真实性所引起的一切争议和法律责任。
3、电子书、小说等仅供网友预览使用,书籍版权归作者或出版社所有。
4、如作者、出版社认为资源涉及侵权,请联系本站,本站将在收到通知书后尽快删除您认为侵权的作品。
5、如果您喜欢本资源,请您支持作者,购买正版内容。
6、资源失效,请下方留言,欢迎分享资源链接
文章评论