北京
PostgreSQL全球开发组于2026年5月14日发布安全更新,覆盖18.4、17.10、16.14、15.18及14.23五个维护版本。此次更新共修复11个安全漏洞和60余个程序缺陷。
其中两个漏洞被评为高危(CVSS 8.8分)。第一个涉及CREATE TYPE命令的权限缺失:攻击者可利用搜索路径(search_path)机制劫持其他查询,使受害者在调用用户自定义类型时执行攻击者指定的SQL函数。该漏洞影响14至18版本,由Jelte Fennema-Nio报告。
第二个高危漏洞存在于pg_basebackup和pg_rewind工具中。攻击者可通过符号链接覆盖操作系统账户的关键文件(如.bashrc),实现权限提升。腾讯XlabAI团队的Valery Gubanov参与报告了该问题。
此外,整数溢出漏洞可导致服务器内存越界写入并触发段错误;timeofday()函数的格式字符串漏洞允许攻击者通过构造时区参数读取服务器内存片段。这两个问题分别由Anemone、A1ex等多人团队及Xint Code报告。
开发组特别提醒:PostgreSQL 14将于2026年11月12日终止支持,生产环境用户需尽快制定升级计划。完整变更列表详见官方发行说明。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
