2020年 2月 11日、PostgreSQLのマイナーバージョンアップ 13.2、12.6、11.11、10.16、9.6.21、9.5.25 がリリースされました。
バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。
https://www.postgresql.org/about/news/postgresql-132-126-1111-1016-9621-and-9525-released-2165/
以下のセキュリティ修正が含まれます。
-
CVE-2021-3393: Partition constraint violation errors leak values of denied columns
- パーティションのデータ更新時に制約違反エラーメッセージにより、参照権限のない列の値が漏洩することがありました(バージョン11.x、12.x、13.x で該当します)
-
CVE-2021-20229: Single-column SELECT privilege enables reading all columns
- テーブルの列ごとにアクセス権限を設定している場合に、結合を伴う工夫した問い合わせを通して、テーブルの一列しか参照できないユーザが全列を参照することができました(バージョン13.x のみ)
コメント