PostgreSQL 全球开发组,连同 2019 年 11 月 14 日针对版本 12.1、11.6、10.11、9.6.16、9.5.20 和 9.4.25 的累积更新发布,建议所有 Debian 和 Ubuntu 用户尽快更新其 “postgresql-common” 软件包。
来自 apt.postgresql.org、debian.org 和 ubuntu.com 的最新 PostgreSQL 软件包修复了一个漏洞 (CVE-2019-3466),该漏洞允许 PostgreSQL 超级用户利用 pg_ctlcluster 命令中的缺陷将权限提升为 root。pg_ctlcluster 是 “postgresql-common” 软件包提供的一个实用程序,该软件包与 PostgreSQL 一起安装在这些平台上。
所有 PostgreSQL 更新版本都是累积的。与其他次要版本一样,用户无需转储和重新加载数据库或使用 pg_upgrade 来应用此更新版本;您只需关闭 PostgreSQL 并更新其二进制文件即可。
跳过一个或多个更新版本的用户可能需要运行额外的更新后步骤;请查看早期版本的发行说明了解详细信息。
注意:PostgreSQL 9.4 将于 2020 年 2 月 13 日停止接收修复。请参阅我们的 版本控制策略 了解更多信息。