羲和（Halo）数据库关键补丁更新公告 - 2025年4月

尊敬的羲和（Halo）数据库用户：

您好

我们非常感谢您一直以来对羲和（Halo）数据库的支持与信任。为了不断提升产品的安全性和稳定性，我们近期对羲和（Halo）数据库进行了全面的安全审计，并发现了以下两个重要的安全漏洞。为了确保您的数据安全，我们已紧急开发了相应的补丁，并对这些漏洞进行了修复。现将有关情况公告如下：

一、漏洞详情

（一）权限提升漏洞（管理员权限执行任意SQL代码）

编号: CVE-2025-1094

风险级别: 高

漏洞描述：libpq库中的PQescapeLiteral()、PQescapeIdentifier()等转义函数存在引号语法处理缺陷，可能导致以下场景下的SQL注入攻击：

• 交互式终端注入：当应用程序将转义结果直接拼接为psql命令参数时，攻击者可构造恶意输入篡改SQL逻辑。

• 编码兼容性漏洞：当客户端编码为BIG5且服务器为EUC_TW或MULE_INTERNAL时，命令行参数解析异常可能引发注入。

修复措施：优化转义函数的引号处理逻辑，增加多层编码兼容性校验。

• 增强对psql命令行参数的解析严格性，禁止未经验证的外部输入拼接。

（二）权限检测机制漏洞（超级用户权限执行任意SQL代码）

编号: CVE-2024-10976

风险级别: 高

漏洞描述：启用RLS策略的表在特定条件下可能失效：

• 当查询计划被缓存并复用时（如连接池或预处理语句），RLS策略未正确绑定至查询上下文。

• 攻击者可利用缓存计划发起越权查询，访问或篡改未授权数据行。

修复措施：重构查询计划缓存机制，强制RLS策略与查询上下文深度绑定。

• 默认禁用RLS表的计划缓存，增加force_rls_rebind参数供用户手动控制。

二、补丁更新

为了修复上述漏洞，我们已发布了羲和（Halo）数据库的关键补丁。如果您有版本更新需求，请联系我们的商务团队。我们的商务团队将协调技术同事为您提供专业的技术支持和解决方案。

三、安全建议

为了保障您的数据安全，我们建议您采取以下安全措施：

- 定期更新：请定期关注羲和（Halo）数据库的更新公告，并及时应用最新的补丁和版本更新。

- 权限管理：请加强数据库系统的权限管理，遵循最小权限原则，确保只有具备相应权限的用户才能访问和操作数据库。

- 安全审计：请定期对数据库系统进行安全审计和漏洞扫描，及时发现并修复潜在的安全问题。

- 使用加密通信：建议在客户端与服务器之间使用SSL/TLS加密通信，确保数据传输的安全性。

再次感谢您对羲和（Halo）数据库的支持与信任。我们将继续努力提升产品的安全性和稳定性，为您提供更加优质的服务。如果您在使用过程中有任何疑问或需要进一步的技术支持，请随时与我们联系。