PostgreSQL 11.4などがリリースされました
PostgreSQL 11.4などがリリースされました。今回リリースされたのは以下のバージョンです。
- 11.4
- 10.9
- 9.6.14
- 9.5.18
- 9.4.23
今回のリリースには以下のセキュリティfixが含まれています。
- パスワード変更の際にスタックオーバーフローを起こす脆弱性(CVE-2019-10164)
これにより、バックエンドをクラッシュさせることができるだけでなく、任意のコードをPostgreSQLのユーザIDで実行することができてしまいます。
また、このリリースでは、バックエンドから不正なSCRAM認証メッセージをlibpqを使ったクライアントに送信して、クライアントをクラッシュさせることができるだけでなく、クライアントのユーザIDでクライアントマシン上で任意のコードを実行できる脆弱性の修正が含まれています。SCRAM認証はPostgreSQL 10から導入されており、またlibpqはJDBCなど、一部のクライアントAPIを除き、多くのクライアントAPIで使用されています。したがって、脆弱性対策のためには、PostgreSQLサーバをアップデートするだけでなく、クライアント側のlibpqライブラリもアップデートすることが必要です。
なお、今回のリリースでは、併せてPostgreSQL 12 beta2もリリースされました。
詳しい技術情報はSRA OSSのtech blogをご覧ください。
tags: PostgreSQL - Minor-releases - 11.4 - 10.9 - 9.6.14 - 9.5.18 - 9.4.23