PgBouncer 1.24.1 已发布。此版本修复了 CVE-2025-2291,该漏洞可能允许攻击者绕过 Postgres 的密码过期机制。这种密码过期是通过 Postgres 中的 VALID UNTIL 子句设置的。这是一个影响所有 PgBouncer 版本的安全问题。如果您同时使用了 VALID UNTIL 和 auth_user,则应升级,或者将配置文件中的 auth_query 更改为在此版本中默认使用的新 auth_query。如果您使用的是自定义 auth_query,则应更新它,使其与此版本中新的默认 auth_query 类似。
此版本还通过恢复 HBA 文件中对 pam 的支持,修复了 PAM 认证问题。PAM 认证在 1.24.0 版本中意外损坏。
有关更多信息、详细的更改日志和下载链接,请参阅 https://www.pgbouncer.org/2025/04/pgbouncer-1-24-1。
PgBouncer 是一个轻量级的 PostgreSQL 连接池。