华象新闻|2月20日前谨慎升级PostgreSQL版本

计划于2025年2月20日进行非周期性发布
PostgreSQL全球开发团队计划于2025年2月20日进行一次非周期性发布，以解决2025年2月13日更新版本中引入的一个回归问题。2月13日的更新版本包括了17.3、16.7、15.11、14.16和13.19版本。作为此次发布的一部分，我们将为所有受支持的版本（17.4、16.8、15.12、14.17和13.20）提供修复。虽然这些修复可能不会影响所有PostgreSQL用户，但PostgreSQL全球开发团队认为，与其等到2025年5月8日的下一次计划发布，不如尽早解决这些问题。
CVE-2025-1094的修复引入了回归问题
CVE-2025-1094的修复关闭了libpq PostgreSQL客户端库中的一个漏洞，但引入了一个与非空终止字符串处理相关的回归问题。该错误是否显现取决于PostgreSQL客户端如何实现这一行为，可能不会影响所有PostgreSQL驱动程序。作为预防措施，PostgreSQL全球开发团队决定进行后续发布。
受影响用户的建议
如果您受到此问题的影响，我们建议您在升级之前等待17.4、16.8、15.12、14.17和13.29版本的发布。

注解：

1. 非周期性发布（Out-of-cycle release）：通常指在软件的常规发布周期之外，因紧急问题或漏洞而提前发布的版本。PostgreSQL通常按季度发布更新，但此次因修复回归问题而提前发布。
2. 回归问题（Regression）：指在软件更新后，原本正常的功能出现故障或异常。此次回归问题与CVE-2025-1094的修复相关，影响了字符串处理。
3. libpq PostgreSQL客户端库：libpq是PostgreSQL的C语言客户端库，用于与PostgreSQL服务器进行通信。CVE-2025-1094修复了该库中的一个漏洞，但引入了新的问题。
4. 非空终止字符串（Non-null terminated strings）：在C语言中，字符串通常以空字符（null character）结尾。非空终止字符串是指没有以空字符结尾的字符串，可能导致内存访问错误。
5. PostgreSQL驱动程序：指用于连接PostgreSQL数据库的客户端软件组件，例如Python的psycopg2、Java的JDBC等。并非所有驱动程序都会受到回归问题的影响。
6. 等待版本发布再升级：对于受影响的用户，建议等待修复版本发布后再进行升级，以避免因回归问题导致的潜在风险。