PostgreSQL 开发团队为所有受支持的数据库版本发布了更新，其中包括 PostgreSQL 12.2, 11.7, 10.12, 9.6.17, 9.5.21 和 9.4.26。本次发布的更新修复了在 PostgreSQL 服务器中发现的一个安全问题，并修复了过去三个月内来自社区反馈的 70 多个错误。

要注意的是，PostgreSQL 9.4 已经 EOL（生命周期结束），所以 PostgreSQL 9.4.26 是 9.4 系列的最后一个版本。从该版本开始，PostgreSQL 9.4 不再接收到安全更新和错误修复。PostgreSQL 9.4 引入了不少新功能， 例如支持 JSONB、ALTER SYSTEM命令、将流式传输的逻辑功能更改到输出插件等。

团队表示，这些功能在新版本 PostgreSQL 中都已提供，所以建议用户尽快计划进行更新。

安全问题

• CVE-2020-1720: ALTER ... DEPENDS ON EXTENSION 缺少授权检验

受影响的版本：9.6 - 12

所述ALTER ... DEPENDS ON EXTENSION子命令不执行授权检查，这会导致未经授权的用户可在某些条件下删除任意的函数、存储过程、物化视图（materialized view）、索引以及触发器。如果管理员安装了扩展，并且无特权的用户也可以CREATE、或者扩展所有者可以按预期执行DROP EXTENSION，以及被说服执行DROP EXTENSION.，则可能会发生此攻击DROP EXTENSION。

错误修复和改进

本次更新还修复了社区过去几个月报告的 75 个错误。其中一些问题仅影响版本12，但也可能影响所有受支持的版本。

其中一些修复程序包括：

• 修复了带有外键引用的分区表，该分区表 TRUNCATE ... CASCADE不会删除所有数据。如果您以前在带有外键引用的分区表上使用过TRUNCATE ... CASCADE ，请参阅“更新”部分内容以获取验证和清除步骤。
• 修复无法向具有子分区的表（又称为多级分区表）添加外键约束的问题。如果以前使用过此功能，则可以通过分离并重新连接受影响的分区，或者通过将外键约束拖放到父表中来对其进行修复。可以在 ALTER TABLE  档中找到有关如何执行这些步骤的更多信息 。
• 解决 CVE-2017-7484 修复程序引入的分区表的性能问题，现在允许计划程序在查询包含内存泄露的运算符时，在子表上使用统计信息来授予用户在父表上具有访问权限的列。
• 分区表的其他一些修复和变更，包括不允许分区键表达式返回伪类型（pseudo-types），例如RECORD。
• 修复用于执行每列UPDATE触发器的逻辑复制订阅者
• 修复逻辑复制订阅者和发布者的几次崩溃和故障问题
• ……

下载地址：https://www.postgresql.org/download/
更新说明：https://www.postgresql.org/about/news/2011/