PostgreSQL 15.4、14.9、13.12、12.16、11.21 和 16 Beta 3 发布
PostgreSQL 全球开发组针对当前所有被支持版本发布了一次更新,版本包括:15.4、14.9、13.12、12.16 和 11.21,以及 PostgreSQL 16 的第三个测试版。此版本修复了两个安全漏洞并修复了过去几个月报告的 40 多个 bug。
如果你使用 BRIN 索引来查找NULL
值, 则升级到此版本后需要重新索引它们。在 PostgreSQL 12 及更高版本上,你可以使用 REINDEX CONCURRENTLY
以避免阻止对受影响的索引和表的写入,例如:REINDEX INDEX CONCURRENTLY your_index_name;
有关更改的完整列表,可查看 发行说明。
PostgreSQL 11 EOL 通知
PostgreSQL 11 将于 2023 年 11 月 9 日停止接收修复。如果你在生产环境中运行 PostgreSQL 11,建议制定计划升级到更新的受支持版本的 PostgreSQL。参阅版本控制政策以获取更多信息。
安全问题
CVE-2023-39417 :引用中的扩展脚本@substitutions@
允许 SQL 注入。
支持的、易受攻击的版本:11 - 15。安全团队通常不会测试不受支持的版本,但这个问题已经存在很久了。
如果扩展脚本在 quoting 结构 (dollar quoting, ''
, or ""
) 内使用 @extowner@
、@extschema@
或@extschema:...@
,则容易受到攻击。没有捆绑的扩展名存在漏洞。在文档示例和非捆绑扩展中确实存在漏洞。因此,攻击的先决条件是管理员安装了易受攻击的、受信任的、非捆绑扩展的文件。在这一前提条件下,拥有数据库级CREATE
权限的攻击者就能以引导超级用户身份执行任意代码。PostgreSQL 将在核心服务器中阻止这种攻击,因此无需修改个别扩展。
CVE-2023-39418:MERGE
无法强制执行UPDATE
或SELECT
行安全策略。
支持的、易受攻击版本:15。
PostgreSQL 15 引入了MERGE
命令,该命令无法根据为UPDATE
和SELECT
定义的行安全策略测试新行 。如果UPDATE
和SELECT
策略禁止某些行,而INSERT
策略不禁止,则用户可以存储此类行。后续后果取决于应用程序。这仅影响用于CREATE POLICY
定义行安全策略的数据库。
错误修复和改进
下面列出的问题会影响 PostgreSQL 15,其中一些问题也可能会影响其他受支持的 PostgreSQL 版本。
- 修复了 BRIN 索引中
NULL
值的处理。此修复不适用于现有 BRIN 索引 - 用户将需要运行REINDEX
来修复任何用于搜索 NULL 值的 BRIN 索引。 - 避免在 DROP DATABASE 中断时留下损坏的数据库。
- 针对分区索引的多项修复。
- 修复如果扩展包含扩展架构之外的任何对象的
ALTER EXTENSION ... SET SCHEMA
错误。 - 修复表访问方法的依赖性跟踪。
- 不要在规划器中使用部分唯一索引来证明唯一性。
- 扩展规则操作时,正确处理 RLS 策略表达式和 security-barrier 视图中的子 SELECT。
- 修复
SERIALIZABLE
事务隔离模式冲突检测中的 race conditions。 - 修复尝试更新需要 out-of-line TOASTing 的复合列的字段时出现的间歇性故障。
- 修复查询生命周期中发生的多个内存泄漏。
- 在 jsonpath
datetime()
方法的输入中接受小数秒 。 - 将
pg_hba.conf
和pg_ident.conf
中的 token 限制增至 10,240 字节。 - JIT 的内存不足错误现在将导致 PostgreSQL
FATAL
错误而不是 C++ 异常。 - 允许在检测到某些类型的 B-tree 索引损坏后继续使用
VACUUM
。虽然此修复允许 VACUUM 继续,但用户仍然需要REINDEX
修复损坏的索引。 - 避免在崩溃恢复期间 double replay 已准备好的事务。
- 确保新创建空表上的 checkpoint calls fsync。
- Silence“missing contrecord”错误,以避免记录来自
pg_waldump
和walsender
的不准确消息。 - 修复 [fuzzystrmatch] (https://www.postgresql.org/docs/current/fuzzystrmatch.html Soundex
difference()
函数以正确处理空输入。 - 针对
intarray
的若干修复,包括禁止在 GiST 索引中使用过大的输入数组。 - 修复
pg_dump
以正确处理需要解析时依赖于唯一索引的SQL 标准函数体 (BEGIN ATOMIC
)。
有关可用更改的完整列表,可查看 发行说明。
PostgreSQL 16 Beta 3 中的修复
- 在
psql
中添加\drg
命令,以显示有关角色授权信息。 - 在使用
pg_waldump --save-fullpage
生成的文件名中添加 timeline ID。 - 修复 parallel VACUUM worker 中发生死锁后的崩溃问题。
参阅发行说明以获取新功能和更改功能的完整列表。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
RXThinkCMF 敏捷开发框架 ThinkPhp8+EleVue版本 v1.0.0 发布
v1.0.0 更新内容:1、搭建基于 ThinkPHP8 的项目架构;2、新增角色、菜单、节点等权限架构体系;3、新增基础用户、角色、菜单等基础模块;4、新增字典、配置等基础数据模块;5、新增广告、友链、站点等业务模块;6、新增网站配置等基础数据维护模块; 项目介绍 一款 PHP 语言基于 ThinkPhp8.x、Vue2.x、ElementUI、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建前后端分离后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架,框架已集成了完整的RBAC权限架构和常规基础模块,同时支持多主题切换,可以根据自己喜欢的风格选择想一个的主题,实现了个性化呈现的需求;为了敏捷快速开发,提升研发效率,框架内置了一键CRUD代码生成器,自定义了模块生成模板,可以根据已建好的表结构(字段注释需规范)快速的一键生成整个模块的所有...
- 下一篇
Wine runner 3.4.0 发布,小白友好型 Wine 运行器
Wine runner 3.4.0 已经发布,小白友好型 Wine 运行器。 此版本更新内容包括: ※1、修复简易打包器无法打开的问题以及 Wine 识别错误的问题※2、高级打包器支持多 .desktop 分别设置不同的 MimeType※3、修复运行器在 Ubuntu 23 的安装问题※4、高级打包器支持导出/导入填写信息※5、Deepin 23 支持使用 Winetricks※6、新增视频教程※7、修复虚拟机工具在检测到 Qemu 磁盘但没有安装 Qemu 时无法启动的问题※8、修复虚拟机工具的一些问题并调整部分设置※9、虚拟机工具支持设置 UEFI 启动※10、虚拟机安装工具提供 LoongArch 新世界版本 11、高级打包器支持隐藏输入框以及使用小字体 12、打包器提供 bcm 和 dcm wine 支持 13、修复星火 wine 配置错误问题 14、打包器支持多线程打包 15、修复升级工具问题:https://gitee.com/gfdgd-xi/uengine-runner/issues/I6ZRZX 16、跟进打包器 run.sh 模板 17、云沙箱新增 cloud.v...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Windows10,CentOS7,CentOS8安装Nodejs环境