PostgreSQL 13.1などがリリースされました
PostgreSQL 13.1 12.5, 11.10, 10.15, 9.6.20, 9.5.24がリリースされました。
今回のリリースには以下のセキュリティfixが含まれています。すべてPostgreSQL 9.5以降のバージョンが該当します。
-
スキーマ内にtemporaryオブジェクト以外のオブジェクトの作成権限を持つユーザは、任意のSQL関数をスーパユーザ権限で実行できました(CVE-2020-25695)。
-
コネクションの再接続の際にセキュリティ関連のパラメータ(channel_binding, sslmode, requirepeer, gssencmodeなど)が無視され、結果として再接続後に中間者攻撃が可能でした(CVE-2020-25694)。PostgreSQLのクライアントアプリケーションでは、clusterdb, pg_dump, pg_restore, psql, reindexdb, vacuumdbが影響を受けます。
-
psqlの\gsetコマンドを悪用して任意のコードを実行可能でした(CVE-2020-25696)。
-
バグ修正や、その他の詳しい技術情報はSRA OSSのtech blogをご覧ください。