Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15 和 4.2.22 发布。

Pgpool-II 是什么？

Pgpool-II 是一个为 PostgreSQL 添加有用功能的工具，包括

• 连接池
• 负载均衡
• 自动故障转移和更多功能。

小版本发布

Pgpool Global Development Group 很高兴宣布以下版本的 Pgpool-II 可用。

• 4.6.1
• 4.5.7
• 4.4.12
• 4.3.15
• 4.2.22

本次发布包含了一个安全修复。

Pgpool-II 的客户端认证机制中存在一个认证绕过漏洞。在 Pgpool-II 中，即使应该强制执行认证，也可能发生认证绕过。因此，攻击者可以以任何用户的身份登录，可能导致信息泄露、数据篡改，甚至完全关闭数据库。（CVE-2025-46801）

此漏洞会影响认证配置匹配以下任一模式的系统：

• 模式 1：当满足以下所有条件时，会发生此漏洞：

  • 在 pool_hba.conf 中使用了密码认证方法
  • allow_clear_text_frontend_auth = off
  • 用户密码未在 pool_passwd 中设置
  • 在 pg_hba.conf 中使用了 scram-sha-256 或 md5 认证方法

• 模式 2：当满足以下所有条件时，会发生此漏洞：

  • enable_pool_hba = off
  • 在 pg_hba.conf 中使用了以下任一认证方法：password、pam 或 ldap

• 模式 3：当满足以下所有条件时，会发生此漏洞：

  • 使用了原始模式（backend_clustering_mode = 'raw'）
  • 在 pool_hba.conf 中使用了 md5 认证方法
  • allow_clear_text_frontend_auth = off
  • 用户密码以明文或 AES 格式注册在 pool_passwd 中
  • 在 pg_hba.conf 中使用了以下任一认证方法：password、pam 或 ldap

Pgpool-II 的所有 4.0 和 4.1 系列版本，4.2.0 至 4.2.21、4.3.0 至 4.3.14、4.4.0 至 4.4.11、4.5.0 至 4.5.6 和 4.6.0 版本均受此漏洞影响。强烈建议升级到 Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15 和 4.2.22 或更高版本。或者，您可以修改您的设置，使其不匹配任何易受攻击的配置模式。

请查看发行说明。

您可以下载 源代码和 RPM 包。