Pgpool-II 4.2.6などがリリースされました
Pgpool-II 4.2.6などがリリースされました。 (Pgpool-II 4.3 beta2も同時リリースです)
今回のリリースには、security fixが含まれています。これは、2021/11/11にリリースされた、PostgreSQL 14.1などにおけるsecurity fixと同様のものです。
-
中間者(man-in-the-middle)攻撃が条件によって可能である脆弱性が修正されました。Pgpool-IIとクライアントの間の認証が、cert認証あるいはhostssl+trust認証が設定されているときに、攻撃者は任意のSQLをサーバに実行させることが可能でした。
-
Pgpool-IIとPostgreSQLの間において、hostssl+trust認証が設定されているとき、中間者(man-in-the-middle)攻撃が可能である脆弱性が修正されました。攻撃者は、偽のサーバレスポンスを挿入することが可能でした。
それ以外の主なバグ修正は以下です。
-
reserved_connectionsが0のときに起こるコネクションカウンタの不具合を修正しました。
-
フェイルオーバ中のセグメンテーション違反を修正しました。
-
COPY FROM中のハングアップを修正しました。
Pgpool-II 3.6系のEOL
- Pgpool-II 3.6系は今回の3.6.28が最後のリリースとなり、EOLを迎えました。