PostgreSQL 全球开发团队近日发布了针对所有当前受支持版本的更新,涵盖 PostgreSQL 18.1、17.7、16.11、15.15、14.20 以及 13.23。此次发布修复了两个安全漏洞,并解决了过去数月内报告的超过 50 个问题。
关于 PostgreSQL 13 停止维护的通知
本次发布的 13.23 是 PostgreSQL 13 系列的最后一个版本。自此之后,PostgreSQL 13 将不再接受任何维护更新,包括安全补丁和缺陷修复。建议用户尽快升级至仍在支持周期内的更高版本。更多详情请参考官方的版本支持策略。
安全漏洞详情
CVE-2025-12817:CREATE STATISTICS 命令未校验模式下的 CREATE 权限
- CVSS v3.1 基础评分:3.1
- 受影响版本范围:PostgreSQL 13 至 18(在 18.1、17.7、16.11、15.15、14.20 和 13.23 之前)
该问题源于 CREATE STATISTICS 命令在执行时未正确检查目标模式是否具备 CREATE 权限。这使得表的所有者可在任意模式中创建同名对象,从而干扰其他具有 CREATE STATISTICS 权限的用户操作,导致其后续建表失败,构成一种拒绝服务攻击向量。
CVE-2025-12818:libpq 客户端库因整数回绕导致内存分配不足
- CVSS v3.1 基础评分:5.9
- 受影响版本范围:PostgreSQL 13 至 18(在 18.1、17.7、16.11、15.15、14.20 和 13.23 之前)
PostgreSQL 的 libpq 客户端库中多个函数存在整数溢出风险。当处理恶意构造的输入或来自不可信网络对等方的数据时,可能触发内存分配过小的问题,进而引发大规模越界写入,最终可能导致使用 libpq 的应用程序崩溃(如出现段错误)。建议所有使用 libpq 的应用立即升级。
更多信息请访问:https://www.php.cn/link/a315bb3296a043597fc3758b29dbe9ff
源码下载地址:点击获取
