Pgpool-II 4.6.1などがリリースされました
Pgpool-II 4.6.1などがリリースされました。
このリリースには、脆弱性修正が含まれています。
- Pgpool-II 4.0以降のPgpool-IIのクライアント認証メカニズムには脆弱性があり、本来であれば認証が必要な場合でも、認証処理がスキップされてしまう可能性があります(CVE-2025-46801)。この脆弱性を悪用することで、攻撃者が任意のユーザーとしてログインし、データベース内の情報を参照・改ざんしたり、データベースを停止させたりすることができる可能性があります。可能な限り早めのバージョンアップをお勧めします。 どのような組み合わせのクライアント認証設定がこの脆弱性の影響を受けるかなどの詳細については、リリースノートを参照ください。可能な限り早めのバージョンアップをお勧めします。 なお、4.0系、4.1系についてはすでにEOLになっているため、修正バージョンはリリースされません。
これ以外の主なバグ修正は以下です。
-
テーブルが変更された時にクエリキャッシュが削除されないケースがあるのを修正しました。
-
リロードによって、pool_passwdの変更が反映されない問題を修正しました。
-
IPv6が無効化されている環境で、ハートビートプロセスが正しく動作しない問題を修正しました(4.6.1のみ)。