PgBouncer 1.25.1이 롤 토토되었습니다. 이 릴리스에서는 CVE-2025-12819를 수정합니다. 이번 릴리스 이전에는 인증되지 않은 공격자가 StartupMessage에 악의적인 search_path 매개변수를 제공하여 인증 중에 임의의 SQL을 실행할 수 있었습니다. 다음 구성이 모두 포함된 시스템은 취약합니다.
track_extra_parameterssearch_path 포함(기본이 아닌 구성, 아마도 Citus 또는 PostgreSQL 18과 관련된 설정에서만 구성됨)auth_user비어 있지 않은 문자열로 설정됨(기본 구성이 아님)auth_query은 정규화된 개체 이름 없이 구성됩니다(기본 구성, < 연산자는 스키마 q가 아닙니다.이 릴리스는 또한 최근 1.25.0 릴리스에서 소개된 많은 버그/문제를 수정합니다.
자세한 내용은 다음에서 확인하세요.변경 로그.
여기에서 다운로드하세요:pgbouncer-1.25.1.tar.gz (샤256)