亲爱的金山云用户：

您好！2019年03月27日，金山云安全应急响应中心监控到PostgreSQL存在高危漏洞，其漏洞细节已被披露，攻击者可以利用此漏洞执行任意系统命令。详情如下：

漏洞编号:

 CVE-2019-9193

漏洞名称:

     PostgreSQL任意代码执行漏洞

漏洞危害等级:

高危

漏洞描述:

     PostgreSQL是一个功能强大的对象关系数据库系统，可以在所有的主流操作系统中运行。本次发现的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM”中，这个命令允许数据库的超级用户以及pg_read_server_files组中的任何用户执行操作系统命令，也就是说数据库的超级用户与运行数据库的用户在操作系统上拥有相同的权限，利用该漏洞可以执行任意系统命令。

影响版本:

PostgreSQL Postgresql >=9.3

修复方案：

    目前官方未提供修复方案，请及时关注官方补丁更新情况；

    建议：pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色涉及到读写数据库服务端文件，权限较大，分配此角色权限给数据库用户时需谨慎考虑。