2018-03-01，​​PostgreSQL全球开发小组发布了所有支持的数据库系统的版本更新，包括10.3,9.6.8,9.5.12,9.4.17和9.3.22版本。

此次的版本发布是解决CVE-2018-1058号的安全问题，这个问题是一个用户在不同的Shema空间下可以创建名称相似的对象，这样可能会影响其他用户的查询,从而造成预期外或是有恶意的结果，这也是类似“特洛伊木马”的攻击。这次的更新重点是增加新的文档，解释这个问题，以及采用什么方法减轻对服务器的影响。

我们强烈建议所有的用户阅读 《A Guide to CVE-2018-1058: Protect Your Search Path》（CVE-2018-1058问题指引: 保护你的搜索路径） 这本书来了解CVE-2018-1058的详细情况，以及如何保护你的PostgreSQL的服务器。

在浏览过有关CVE-2018-1058问题的文档后，数据库的管理员也许应采取以下步骤来保护PostgreSQL服务器，以保护其受到（不应有）的利用。

安全问题

修正一个安全漏洞：

CVE-2018-1058: 在使用pg_dump和其他客户端程序时，搜索路径未受控制。请浏览 《A Guide to CVE-2018-1058: Protect Your Search Path》（CVE-2018-1058问题指引: 保护你的搜索路径） 这本书来了解CVE-2018-1058的详细情况

其他Bug修正和提升

本次更新也修正了几个自上次累积更新后所上报的问题。一些问题只影响10.0版本，但也有影响其他所支持版本的问题，具体内容包括：

• 防止逻辑复制功能复制了还未发布的对象，如物化视图和元数据表等。
• 修正一个公共表达式(WITH 选项) 在一个有并发更新检查的子查询规划时来返回正确的结果。
• 修正一个在一定场景下当存在交叉合并的OUTER JOIN时，有预期之外的查询规划错误。
• 修正在运行pg_upgrade后，一个潜在的物化视图数据一致性问题。如果一个物化视图收到了类似：“不能获取事务的状态”或是 “从relfrozenxid的发现xmin”的提示时，请使用“REFRESH MATERIALIZED VIEW”并且不要有“CONCURRENTLY”选项来修正这个问题。
• 几个pg_dump相关的问题，包括修正有关cross-t able的数据统计的工作。
• 修正有关PL/Python 内部函数的堆栈跟踪的提示。
• 允许contrib/auto_explain 最多扩展至INT_MAX数值，大约是24天。
• 将配置变量标记为PGDLLIMPORT，以便于在Windows平台发布扩展模块。

致谢

PostgreSQL全球开发小组感谢Arseniy Sharoglazov向安全小组报告了这个问题。

相关链接

• CVE-2018-1058问题指引: 保护你的搜索路径
• 下载
• 产品发布详细新闻
• 安全说明页面
• 版本策略