PostgreSQL 13.3などがリリースされました
PostgreSQL 13.3, 12.7, 11.12, 10.17, 9.6.22がリリースされました。
今回のリリースには以下のセキュリティfixが含まれています。
-
配列の添字の計算の際の整数オーバフローが修正されました。この問題はアクセスできない配列要素を作ってしまうだけでなく、添字の計算の混乱により、メモリの上書きが起こり、クラッシュや意図しない書き込みが起こる可能性がありました(CVE-2021-32027) 。この問題はバージョン9.6から13だけでなく、9.5以前にも存在しましたが、9.5以前はEOLであるため、修正されません。
-
「INSERT … ON CONFLICT … DO UPDATE」を使うことにより、攻撃者がサーバから任意長のメモリを読み取ることが可能でした(CVE-2021-32028)。この問題はバージョン9.6から13だけでなく、9.5にも存在しましたが、9.5以前はEOLであるため、修正されません。
-
「UPDATE … RETURNING」をパーティション化テーブルに使うことにより、攻撃者がサーバから任意長のメモリを読み取ることが可能でした(CVE-2021-32029)。この問題は、バージョン11から13までに存在します。
-
バグ修正や、その他の詳しい技術情報はSRA OSSのtech blogをご覧ください。