PgBouncer 1.24.1版本发布：修复密码有效期验证问题

项目简介

PgBouncer是一个轻量级的PostgreSQL连接池工具，它通过管理数据库连接来提高PostgreSQL服务器的性能和可扩展性。作为PostgreSQL生态系统中的重要组件，PgBouncer能够有效减少数据库连接开销，优化资源利用率，特别适合高并发场景下的数据库应用。

安全更新：CVE-2025-2291问题修复

本次1.24.1版本最重要的更新是修复了一个安全问题（CVE-2025-2291），该问题涉及用户密码有效期验证机制。在之前的版本中，PgBouncer在执行auth_query查询用户密码哈希时，没有考虑密码的VALID UNTIL（有效期至）属性。这意味着即使用户密码已经过期，PgBouncer仍可能允许连接通过。

这一问题在PgBouncer作为PostgreSQL透明代理使用时尤为关键。某些用户可能利用已过期的密码进行连接，绕过数据库的安全策略。为解决此问题，新版本修改了默认的auth_query实现，并在文档中更新了自定义auth_query函数的示例，确保密码有效期检查被正确纳入认证流程。

对于使用自定义auth_query的用户，建议立即更新查询逻辑以包含有效期检查。而使用默认配置的用户，可以选择升级到1.24.1版本，或者在旧版本中手动更新auth_query配置。

其他重要修复

除了安全更新外，1.24.1版本还包含多个功能修复：

1. PAM认证支持回滚：1.24.0版本引入的PAM认证在HBA文件中的支持被发现存在问题，新版本已回滚这一变更。这一修复确保了使用PAM认证的系统能够继续正常工作。

2. 用户连接计数修正：修复了用户连接计数递减时的错误。值得注意的是，虽然这个修复已经包含在GitHub的1.24.0标签中，但官方发布的tarball包中遗漏了这一修改，1.24.1版本确保了这一修复的正确包含。

3. 测试套件完善：新增了test_load_balance_hosts.py测试文件到发布包中，并解决了多个测试相关问题，使测试能够在Debian打包环境中顺利运行。

文档改进

新版本还改进了文档中的auth_query示例，增加了安全的search_path设置建议。这一改进有助于防止潜在的SQL注入风险，提升系统整体安全性。

升级建议

对于所有使用PgBouncer的生产环境，特别是那些作为PostgreSQL透明代理的场景，强烈建议尽快升级到1.24.1版本。这次更新不仅修复了重要的安全问题，还提高了系统的稳定性和可靠性。升级时应注意：

1. 检查当前使用的auth_query配置，确保包含密码有效期检查
2. 如果使用PAM认证，验证认证流程是否正常
3. 在测试环境中验证所有修复是否按预期工作

对于无法立即升级的系统，至少应手动更新auth_query配置以包含密码有效期检查，作为临时解决方案。

PgBouncer团队持续关注产品安全性和稳定性，这次更新再次体现了他们对产品质量的承诺。用户应保持对PgBouncer更新的关注，及时应用安全补丁，确保数据库连接层的安全性。