PostgreSQL 9.2.4、9.1.9、9.0.13 和 8.4.17 发布

PostgreSQL 全球开发组已发布安全更新，涉及 PostgreSQL 数据库系统的所有当前版本，包括 9.2.4、9.1.9、9.0.13 和 8.4.17。此次更新修复了 9.0 及更高版本中一个高风险的安全漏洞。强烈建议受影响版本的所有用户*立即*应用此更新。

此次发布修复了一个主要的安全问题，CVE-2013-1899，该问题可能允许通过包含以“-”开头的数据库名称的连接请求来损坏或销毁服务器数据目录中的文件。任何可以访问 PostgreSQL 服务器监听端口的人都可以发起此请求。此问题由 NTT 开源软件中心的 Mitsumasa Kondo 和 Kyotaro Horiguchi 发现。

此次发布还包含两个较小的安全修复：CVE-2013-1900，其中 contrib/pgcrypto 函数生成的随机数可能容易被其他数据库用户猜测；以及CVE-2013-1901，该问题错误地允许非特权用户运行可能干扰正在进行的备份的命令。最后，此次发布修复了 Linux 和 Mac OS X 图形安装程序的两个安全问题：不安全地向脚本传递超级用户密码，CVE-2013-1903，以及在 /tmp 中使用可预测的文件名CVE-2013-1902。Marko Kreen、Noah Misch 和 Stefan Kaltenbrunner 分别报告了这些问题。

我们感谢每一位开发人员为提高 PostgreSQL 的安全性所付出的努力。

本次发布还修正了 GiST 索引管理的多个错误。安装此更新后，建议 REINDEX 任何符合以下一个或多个条件的 GiST 索引。

此更新版本还包含对 PostgreSQL 社区在过去两个月中发现并修补的许多小问题的修复，包括：

• 修复 GiST 索引，使其不对 box、polygon、circle 和 point 列使用“模糊”几何比较
• 修复 contrib/btree_gist 中针对 text、bytea、bit 和 numeric 列的 GiST 索引的错误
• 修复多列 GiST 索引的页分割代码中的错误
• 修复 WAL 重放中的缓冲区泄漏，导致“本地固定计数不正确”错误
• 在清理关闭时，如果存在 recovery.conf，确保在进入归档恢复之前进行崩溃恢复
• 在崩溃恢复期间避免删除尚未归档的 WAL 文件
• 修复 DELETE RETURNING 中的竞态条件
• 修复在向依赖于另一个视图的视图添加列后可能发生的规划器崩溃
• 消除 PL/Perl 的 spi_prepare() 函数中的内存泄漏
• 修复 pg_dumpall 以正确处理包含“=”的数据库名称
• 避免在给出错误的连接字符串时 pg_dump 崩溃
• 在 pg_dump 和 pg_upgrade 中忽略无效索引
• 使用 pg_basebackup 备份表空间时，仅包含当前服务器版本的子目录
• 在 pg_basebackup 和 pg_receivexlog 中添加服务器版本检查
• 修复 contrib/dblink 以安全地处理 DateStyle 或 IntervalStyle 设置的不一致
• 修复 contrib/pg_trgm 的 similarity() 函数，使其为不包含 trigram 的字符串返回零
• 启用使用 Microsoft Visual Studio 2012 构建 PostgreSQL
• 更新时区数据文件，以适应智利、海地、摩洛哥、巴拉圭以及俄罗斯部分地区的 DST 法规变更

一如既往，更新版本仅需要安装软件包并重启数据库系统。您无需转储/恢复或使用 pg_upgrade 进行此次更新。跳过了多个更新版本的用户可能需要执行额外的、更新后的步骤；有关详细信息，请参阅发行说明。

链接

• 下载
• 发行说明
• 发行说明 FAQ