PostgreSQL 全球开发组联合 2019 年 11 月 14 日的累积更新发布,该更新适用于版本 12.1、11.6、10.11、9.6.16、9.5.20 和 9.4.25,建议 Debian 和 Ubuntu 上的所有用户尽快更新其 "postgresql-common" 包。
来自 apt.postgresql.org、debian.org 和 ubuntu.com 的最新 PostgreSQL 包发布修复了漏洞 (CVE-2019-3466),在该漏洞中,PostgreSQL 超级用户可以通过 "postgresql-common" 包提供的 "pg_ctlcluster" 命令中的缺陷来提升到 root 权限。在这些平台上,"pg_ctlcluster" 是随 PostgreSQL 一起安装的 "postgresql-common" 包提供的实用程序。
所有 PostgreSQL 更新版本都是累积的。与其他次要版本一样,用户不需要转储和重新加载数据库或使用 pg_upgrade 来应用此更新版本;您可以直接关闭 PostgreSQL 并更新其二进制文件。
跳过了一个或多个更新版本的用户可能需要执行额外的、更新后的步骤;有关详细信息,请参阅早期版本的发布说明。
注意:PostgreSQL 9.4 将于 2020 年 2 月 13 日停止接收修复。请参阅我们的 版本策略了解更多信息。