Security Information

如果要报告PostgreSQL中的新安全漏洞,请发送电子邮件至security@postgresql.org . 要报告非安全错误,请参阅报告错误页面.

PostgreSQL全球发展集团(PGDG)十分重视安全性,它使我们的用户可以信任基于PostgreSQL构建的网站和应用程序. 我们的方法包括故障安全配置选项,安全而强大的数据库服务器以及与其他安全基础架构软件的良好集成.

PostgreSQL安全更新主要作为次要版本升级提供. 始终建议您使用可用的最新次要版本,因为它可能还会包含其他与安全无关的修补程序. 所有已知的安全问题始终在下一主要版本中得到修复.

PGD​​G认为,安全性信息的准确性,完整性和可用性对我们的用户至关重要. 我们选择在此页面上汇总所有信息,从而可以根据一系列条件轻松搜索漏洞.

漏洞列出了它们存在的主要版本,以及每个版本的固定版本. 如果没有有效的登录就可以利用该漏洞,则也要说明. 他们还列出了漏洞类别,但我们敦促所有用户阅读说明,以确定该错误是否影响特定的安装.

Known security issues in all supported versions

您可以过滤补丁程序视图以仅显示版本的补丁程序:
12 - 11 - 10 - 9.6 - 9.5 - 9.4 - 所有

Reference Affected Fixed 组件和CVSS v3基本分数 Description
CVE-2019-10211
Announcement
9.4, 9.5, 9.6, 10, 11 9.4.24, 9.5.19, 9.6.15, 10.10, 11.5 packaging
7.8
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Windows Installer捆绑的OpenSSL从不受保护的目录执行代码
CVE-2019-10210
Announcement
9.4, 9.5, 9.6, 10, 11 9.4.24, 9.5.19, 9.6.15, 10.10, 11.5 packaging
6.7
AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Windows安装程序将超级用户密码写​​入不受保护的临时文件
CVE-2019-10209
Announcement
11 11.5 核心服务器
3.1
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:N / A:N
散列子计划的交叉类型比较中的内存公开
CVE-2019-10208
Announcement
9.4, 9.5, 9.6, 10, 11 9.4.24, 9.5.19, 9.6.15, 10.10, 11.5 核心服务器
7.5
AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H
pg_temp中的TYPE在SECURITY DEFINER执行期间执行任意SQL
CVE-2019-10164
Announcement
10, 11 10.9, 11.4 核心服务器
7.5
AV:N / AC:H / PR:L / UI:N / S:U / C:H / I:H / A:H
通过设置密码,基于堆栈的缓冲区溢出
CVE-2019-10130
Announcement
9.5, 9.6, 10, 11 9.5.17, 9.6.13, 10.8, 11.3 核心服务器
3.1
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:N / A:N
选择性估算器绕过行安全策略
CVE-2019-10129
Announcement
11 11.3 核心服务器
6.5
AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:N / A:N
分区路由中的内存公开
CVE-2019-10128
Announcement
9.4, 9.5, 9.6, 10, 11 9.4.22, 9.5.17, 9.6.13, 10.8, 11.3 packaging
7.0
AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
EnterpriseDB Windows安装程序不会清除允许的ACL条目
CVE-2019-10127
Announcement
9.4, 9.5, 9.6, 10, 11 9.4.22, 9.5.17, 9.6.13, 10.8, 11.3 packaging
7.0
AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
BigSQL Windows安装程序不会清除允许的ACL条目.
CVE-2019-3466
Announcement
9.4, 9.5, 9.6, 10, 11, 12 9.4.25, 9.5.20, 9.6.16, 10.11, 11.6, 12.1 packaging
8.4
AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
创建套接字/统计信息临时目录时,postgresql-common中的pg_ctlcluster脚本不会放弃特权
CVE-2018-16850
Announcement
10, 11 10.6, 11.1 核心服务器
8.8
AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:H / A:H
通过CREATE TRIGGER ... REFERENCING在pg_upgrade和pg_dump中进行SQL注入.
CVE-2018-10925
Announcement
9.5, 9.6, 10 9.5.14, 9.6.10, 10.5 核心服务器
7.1
AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:L / A:N
INSERT ...发生冲突时进行内存公开和缺少授权.
CVE-2018-10915
Announcement
9.4, 9.5, 9.6, 10 9.4.19, 9.5.14, 9.6.10, 10.5 client
8.5
AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
某些主机连接参数破坏了客户端的安全防护
CVE-2018-1115
Announcement
9.6, 10 9.6.9, 10.4 贡献模块
3.1
AV:N / AC:H / PR:L / UI:N / S:U / C:N / I:L / A:N
函数pg_logfile_rotate()上的访问控制列表太宽松
CVE-2018-1058
Announcement
9.4, 9.5, 9.6, 10 9.4.17, 9.5.12, 9.6.8, 10.3 client
8.8
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
pg_dump和其他客户端应用程序中不受控制的搜索路径元素
CVE-2018-1053
Announcement
9.4, 9.5, 9.6, 10 9.4.16, 9.5.11, 9.6.7, 10.2 client
6.7
AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
pg_upgrade在当前的umask下创建敏感元数据文件
CVE-2018-1052
Announcement
10 10.2 核心服务器
6.5
AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:N / A:N
表分区中的内存公开
CVE-2017-15099
Announcement
9.5, 9.6, 10 9.5.10, 9.6.6, 10.1 核心服务器
3.1
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:N / A:N
INSERT ... ON CONFLICT DO UPDATE无法强制执行SELECT特权
CVE-2017-15098
Announcement
9.4, 9.5, 9.6, 10 9.4.15, 9.5.10, 9.6.6, 10.1 核心服务器
4.3
AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:N / A:N
JSON函数中的内存公开
CVE-2017-12172
Announcement
9.4, 9.5, 9.6, 10 9.4.15, 9.5.10, 9.6.6, 10.1 贡献模块
8.4
AV:N / AC:L / PR:H / UI:R / S:C / C:H / I:H / A:H
启动脚本允许数据库管理员修改root拥有的文件
CVE-2017-7548
Announcement
9.4, 9.5, 9.6 9.4.13, 9.5.8, 9.6.4 核心服务器
3.1
AV:N / AC:H / PR:L / UI:N / S:U / C:N / I:L / A:N
lo_put()函数忽略ACL
CVE-2017-7547
Announcement
9.4, 9.5, 9.6 9.4.13, 9.5.8, 9.6.4 核心服务器
8.5
AV:N / AC:H / PR:L / UI:N / S:C / C:H / I:H / A:H
pg_user_mappings视图向缺少服务器特权的用户公开密码
CVE-2017-7546
Announcement
9.4, 9.5, 9.6 9.4.13, 9.5.8, 9.6.4 核心服务器
8.1
AV:N / AC:H / PR:N / UI:N / S:U / C:H / I:H / A:H
在某些身份验证方法中接受空密码
CVE-2017-7486
Announcement
9.4, 9.5, 9.6 9.4.12, 9.5.7, 9.6.3 核心服务器
8.5
AV:N / AC:H / PR:L / UI:N / S:C / C:H / I:H / A:H
pg_user_mappings视图公开了外部服务器密码
CVE-2017-7485
Announcement
9.4, 9.5, 9.6 9.4.12, 9.5.7, 9.6.3 client
8.1
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
libpq忽略PGREQUIRESSL环境变量
CVE-2017-7484
Announcement
9.4, 9.5, 9.6 9.4.12, 9.5.7, 9.6.3 核心服务器
4.3
AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:N / A:N
选择性估计器绕过SELECT特权检查
CVE-2016-7048
Announcement
9.4, 9.5 9.4.10, 9.5.5 packaging
7.5
AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
交互式安装程序通过纯HTTP下载软件,然后执行
CVE-2016-5424
Announcement
9.4, 9.5 9.4.9, 9.5.4 client
8.5
AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
出色的数据库和角色名称可以升级到超级用户
CVE-2016-5423
Announcement
9.4, 9.5 9.4.9, 9.5.4 核心服务器
4.3
AV:N / AC:L / PR:L / UI:N / S:U / C:L / I:N / A:N
某些嵌套的CASE / WHEN表达式会使服务器崩溃
CVE-2016-3065
Announcement
9.5 9.5.2 贡献模块
3.1
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:N / A:N
pageinspect不检查BRIN索引的权限
CVE-2016-2193
Announcement
9.5 9.5.2 核心服务器
4.2
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:L / A:N
计划缓存可能为RLS策略使用了错误的角色上下文
CVE-2016-0773
Announcement
9.4, 9.5 9.4.6, 9.5.1 核心服务器
6.5
AV:N / AC:H / PR:N / UI:N / S:U / C:N / I:L / A:H
未经检查的正则表达式可能会使服务器崩溃
CVE-2015-5289
Announcement
9.4 9.4.5 核心服务器
5.9
AV:N / AC:H / PR:N / UI:N / S:U / C:N / I:N / A:H
未经检查的JSON输入可能会使服务器崩溃
CVE-2015-5288
Announcement
9.4 9.4.5 贡献模块
3.1
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:N / A:N
crypt()函数中的内存泄漏.
CVE-2015-3167
Announcement
9.4 9.4.2 贡献模块
3.7
AV:N / AC:H / PR:N / UI:N / S:U / C:L / I:N / A:N
pgcrypto有多个错误消息,用于使用不正确的密钥进行解密.
CVE-2015-3166
Announcement
9.4 9.4.2 核心服务器
5.6
AV:N / AC:H / PR:N / UI:N / S:U / C:L / I:L / A:L
来自标准库的意外错误.
CVE-2015-3165
Announcement
9.4 9.4.2 核心服务器
7.5
AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H
身份验证超时后加倍"免费"
CVE-2015-0244
Announcement
9.4 9.4.1 核心服务器
8.1
AV:N / AC:H / PR:N / UI:N / S:U / C:H / I:H / A:H
扩展协议消息读取中的错误.
CVE-2015-0243
Announcement
9.4 9.4.1 贡献模块
6.5
AV:N / AC:H / PR:N / UI:N / S:U / C:N / I:L / A:H
pgcrypto扩展中的函数中的内存错误.
CVE-2015-0242
Announcement
9.4 9.4.1 核心服务器
4.2
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:L / A:N
替换printf系列功能中的缓冲区溢出.
CVE-2015-0241
Announcement
9.4 9.4.1 核心服务器
4.2
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:L / A:N
Buffer overruns in "to_char" functions.
CVE-2014-8161
9.4 9.4.1 核心服务器
3.1
AV:N / AC:H / PR:L / UI:N / S:U / C:L / I:N / A:N
约束违规错误可能会导致用户通常无权查看的列中显示值.
CVE-2014-0067
9.4 9.4.1 other
7.0
AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
未经身份验证的用户可以在"进行检查"期间获得对数据库服务器的访问.

更多细节

Unsupported versions

您也可以查看不支持版本的存档安全补丁. 请注意,由于这些版本的生命周期已尽,因此不再提供这些版本的安全补丁.
9.3 - 9.2 - 9.1 - 9.0 - 8.4 - 8.3 - 8.2 - 8.1 - 8.0 - 7.4 - 7.3

Components

上表中使用了以下组件引用:

Component Description
核心服务器 核心服务器产品中存在此漏洞.
client 此漏洞仅存在于客户端库或客户端应用程序中.
贡献模块 此漏洞存在于contrib模块中. 从源安装PostgreSQL时,默认情况下未安装Contrib模块. 它们可以通过二进制软件包安装.
客户贡献模块 仅在客户端上使用的contrib模块中存在此漏洞.
packaging PostgreSQL二进制包装(例如,安装程序或RPM)中存在此漏洞.

by  ICOPY.SITE