2020年 11月 12日、PostgreSQLのマイナーバージョンアップ 13.1、12.5、11.10、10.15、9.6.20、9.5.24 がリリースされました。
バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。
https://www.postgresql.org/about/news/postgresql-131-125-1110-1015-9620-and-9524-released-2111/
以下のセキュリティ修正が含まれます。
-
CVE-2020-25695: Multiple features escape "security restricted operation" sandbox
- インデックス式およびマテリアライズドビュー定義内でホールドカーソル宣言と遅延トリガ駆動が禁止されました。これがアクセス制限の抜け穴となっていました。
-
CVE-2020-25694: Reconnection can downgrade connection security settings
- 各種クライアントコマンドで接続文字列を指定する場合について修正されました。接続文字列として指定した内容が無視されることがあり、SSL接続の使用やそのオプション指定が使われないセキュリティリスクがありました。
-
CVE-2020-25696:
psql
's\gset
allows overwriting specially treated variables- psqlの\gsetで特別な変数を上書き指定できないようになりました。悪意のサーバ応答がクライアント上での任意コマンド実行を引き起こすおそれがありました。
コメント