PostgreSQL 全球开发组发布了我们数据库系统所有受支持版本的更新,包括 13.2、12.6、11.11、10.16、9.6.21 和 9.5.25。此版本修复了两个安全漏洞,并修复了过去三个月报告的 80 多个错误。
此外,这是 PostgreSQL 9.5 的最终版本。如果您在生产环境中运行 PostgreSQL 9.5,我们建议您制定升级计划。
有关完整的更改列表,请查看发行说明。
受影响的版本:11 - 13。
对分区表具有 UPDATE 权限但缺少某些列的 SELECT 权限的用户可能会从错误消息中获取被拒绝的列的值。这类似于 CVE-2014-8161,但利用的条件更为罕见。
PostgreSQL 项目感谢 Heikki Linnakangas 报告此问题。
受影响的版本:13。
对单个列具有 SELECT 权限的用户可以构造一个返回表的所有列的特殊查询。
此外,使用列级权限的存储视图将具有不完整的列使用位图。在依赖于列级权限进行安全性的安装中,建议在所有用户定义的视图上执行 CREATE OR REPLACE,以强制重新解析它们。
PostgreSQL 项目感谢 Sven Klemm 报告此问题。
此更新修复了过去几个月报告的 80 多个错误。其中一些问题仅影响版本 13,但也可能适用于其他受支持的版本。
其中一些修复包括
REINDEX 任何受影响的 GiST 索引。CREATE INDEX CONCURRENTLY 以确保并发准备的事务中的行包含在索引中。已启用准备事务的安装应 REINDEX 任何并发构建的索引。CALL 或 DO 语句时崩溃。COMMIT 或 ROLLBACK 的 OUT 参数的过程使用 CALL 时发生的故障。BEFORE UPDATE 触发器中的错误。ORDER BY 表达式中考虑并行限制或设置返回函数。ALTER DEFAULT PRIVILEGES 以安全地处理重复的参数。wal_level 设置为 minimal 时的行为,包括在事务中重写表时。CREATE TABLE LIKE 的问题。CLUSTER 的进度报告。COPY FROM 中反斜杠转义的多字节字符的处理。LISTEN/NOTIFY 队列处理中引入的竞争条件。jsonb 连接运算符(||)处理 JSON 数据类型的所有组合。walsender 进程在逻辑解码和复制周围的几个泄漏问题。krb_server_keyfile 的非空值始终覆盖服务器环境中 KRB5_KTNAME 的任何设置\connect 命令允许在 connection_string 参数中使用密码。\help 命令的各种错误。pg_dump 的多个问题。pg_rewind 在回滚备用服务器时考虑所有 WAL。contrib/auto_explain 中的内存泄漏。postgres_fdw 连接。此更新还包含 tzdata 版本 2021a,用于俄罗斯(伏尔加格勒地区)和南苏丹的 DST 法律变更,以及澳大利亚、巴哈马、伯利兹、百慕大、加纳、以色列、肯尼亚、尼日利亚、巴勒斯坦、塞舌尔和瓦努阿图的历史更正。
值得注意的是,澳大利亚/库里地区已更正为与澳大利亚/霍巴特相同。
有关可用更改的完整列表,请查看发行说明。
这是 PostgreSQL 9.5 的最终版本。如果您在生产环境中运行 PostgreSQL 9.5,我们建议您制定升级到更新、受支持的 PostgreSQL 版本的计划。请参阅我们的版本控制策略以获取更多信息。
所有 PostgreSQL 更新版本都是累积的。与其他次要版本一样,用户不需要转储并重新加载其数据库或使用 pg_upgrade 来应用此更新版本;您可以简单地关闭 PostgreSQL 并更新其二进制文件。
跳过一个或多个更新版本的用户可能需要运行其他更新后步骤;请参阅早期版本的发行说明以了解详细信息。
有关更多详细信息,请参阅发行说明。
注意:PostgreSQL 9.6 将于 2021 年 11 月 11 日停止接收修复。请参阅我们的版本控制策略以获取更多信息。