By harukat, 9 11月, 2023 2023年 11月 9日、PostgreSQLのマイナーバージョン 16.1、15.5、14.10、13.13、12.17、11.22 がリリースされました。 バグ修正のリリースとなります。また、本リリースで 11.x バージョンは最終リリースとなります。 以下のセキュリティ修正が含まれます。いずれも 11.x から 16.x の全マイナーバージョン系列で該当します。 CVE-2023-5868 : "any" 型引数をとる集約関数を DISTINCT を付与して実行する場合について修正されました。 テキスト型の値を不明なデータ型の値として扱って、サーバメモリ露出が生じる可能性がありました。 CVE-2023-5869 : 配列データ型で添え字の整数オーバーフローが見過ごされる場合があり、修正されました。 潜在的に任意コード実行やサーバメモリの暴露が可能でした。 CVE-2023-5870 : pg_signal_backend ロールから バックグラウンドワーカプロセスと autovacuum のプロセスへのシグナル送信が防止されました。 ドキュメントではスーパーユーザ所有のプロセスにはシグナル送信できないとされていましたが、実際には可能でした。 詳細は以下ページを参照してください。 https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/ タグ ニュース コメント
コメント