PostgreSQL 17.1などがリリースされました
PostgreSQL 17.1などがリリースされました。
主なバグ修正は以下です。
-
行セキュリティが設定されたテーブルを利用したオブジェクトの追跡(subquery, WITH query, security invoker view, SQL関数)が不十分なことにより、行セキュリティが正しく動作せず、本来アクセスできない行の参照や更新が可能であった問題を修正しました(CVE-2024-10976)
-
libpqが接続しようとしている悪意のあるサーバが、任意の文字列をエラーメッセージを装ってlibpqに送り込むことができた問題を修正しました(CVE-2024-10977)
-
トランザクション内でSET SESSION AUTHORIZATIONによって、SET ROLE NONEが暗黙的に実行された後、そのトランザクションをROLL BACKした際に、SET ROLE NONEが設定したユーザに復帰してしまい、SET SESSION AUTHORIZATION実行前のユーザに戻らないなどの問題を修正しました。これにより、権限のないテーブルを参照したり変更したりすることが可能なケースがありました(CVE-2024-10978)
-
PL/Perlの脆弱性を修正しました(CVE-2024-10979)
-
その他、多くのバグ修正があります。
-
このリリースには後方互換性を損なう問題があることがわかっており、その修正リリースが2024/11/21にあることがアナウンスされています。上記脆弱性による影響がないユーザは、11/21のリリースを待ったほうが良いかも知れません。
-
その他の詳しい技術情報は、SRA OSSのtech blogをご覧ください。