安全公告 - 优炫数据库-让中国人用上自己的数据库

公告	摘要	影响组件	发布日期
UXDB-SA-2025-02-27-01	修复 PL/Perl 模块在处理环境变量时的安全缺陷，防止数据库用户通过该模块修改进程环境变量。	PL/Perl	2025/2/27
UXDB-SA-2025-02-28-01	修复特定会话角色切换场景下，查询可能因权限分配错误而访问非预期数据行的问题。	权限系统	2025/2/28
UXDB-SA-2025-03-06-01	修复客户端库在处理不可信服务器返回的错误消息时的安全隐患，防止恶意服务器实施欺骗攻击。	libpq 客户端库	2025/3/6
UXDB-SA-2025-02-26-01	修复在查询计划重用且涉及角色切换的复杂查询中，行级安全策略可能被错误应用或绕过的问题。	行级安全 (RLS)	2025/2/26
UXDB-SA-2025-02-25-01	修复数据库备份工具 ux_dump 中的竞争条件漏洞，防止对象所有者利用该漏洞提升权限。	ux_dump 工具	2025/2/25
UXDB-SA-2025-02-24-01	修复内置统计视图授权缺失问题，防止低权限用户读取敏感系统数据。	内置视图	2025/2/24
UXDB-SA-2023-09-09-01	修复 MERGE 命令在处理启用了行级安全策略的表时，未正确校验 INSERT 新行策略的问题。	MERGE 命令	2023/9/9
UXDB-SA-2023-09-09-02	修复扩展安装脚本中因宏处理不当可能导致任意代码执行的安全问题。	扩展加载系统	2023/9/9
UXDB-SA-2023-09-09-03	修复在角色切换与查询计划重用组合场景下，行级安全策略可能被忽略的问题。	行级安全 (RLS)	2023/9/9
UXDB-SA-2023-09-09-04	修复数据库内部调用中对 search_path 保护不足的问题，防止具备特定权限的用户利用。	search_path 管理	2023/9/9
UXDB-SA-2023-09-09-05	修复 Kerberos 加密连接中，恶意服务器可导致客户端读取未初始化内存的问题。	libpq 客户端库	2023/9/9
UXDB-SA-2023-05-23-01	修复具有创建对象权限的攻击者可诱使管理员操作，从而以受害者身份执行任意代码的问题。	扩展与对象管理	2023/5/23
UXDB-SA-2023-10-20-01	修复数据库维护命令（如自动真空、重建索引）在处理其他用户对象时安全机制激活延迟的问题。	索引	2023/10/20
UXDB-SA-2023-10-13-01	修复经过身份验证的用户可通过特制 UPDATE...RETURNING 查询读取服务器内存任意位置数据的问题。	SQL 查询引擎	2023/10/13
UXDB-SA-2023-10-13-02	修复经过身份验证的用户可通过 INSERT ... ON CONFLICT ... DO UPDATE 命令读取服务器内存任意位置数据的问题。	SQL 查询引擎	2023/10/13
UXDB-SA-2023-10-13-03	修复在修改特定 SQL 数组值时存在的边界检查缺失问题，可能被用于写入服务器内存。	SQL 数组处理	2023/10/13
UXDB-SA-2023-10-11-01	修复在使用客户端证书认证的初始连接阶段，中间人可能注入任意 SQL 查询的问题。	SSL/TLS 连接	2023/10/11
UXDB-SA-2023-10-13-04	修复经过身份验证的用户可通过特制查询读取服务器内存任意字节的问题。	SQL 查询引擎	2023/10/13
UXDB-SA-2023-05-24-01	修复对某列仅有 UPDATE 权限而无 SELECT 权限的用户，可能通过错误消息泄露该列值的问题。	错误消息处理	2023/5/24
UXDB-SA-2023-05-24-02	修复交互式 psql 终端在使用 \gset 命令处理恶意服务器响应时，存在任意代码执行风险的问题。	psql 客户端	2023/5/24
UXDB-SA-2023-05-24-03	修复具有特定架构创建权限的攻击者，可在超级用户上下文中执行任意 SQL 函数的问题。	对象管理	2023/5/24
UXDB-SA-2023-05-24-04	修复部分扩展在安装脚本中未安全使用 search_path 的问题，防止在安装 / 更新过程中执行非预期代码。	扩展系统	2023/5/24
UXDB-SA-2023-10-13-04	修复逻辑复制过程中未正确清理 search_path 的问题，防止在复制用户上下文中执行非预期命令。	逻辑复制	2023/10/13