2021年 5月 13日、PostgreSQLのマイナーバージョンアップ 13.3、12.7、11.12、10.17、9.6.22 がリリースされました。
バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。
https://www.postgresql.org/about/news/postgresql-133-127-1112-1017-and-9622-released-2210/
以下のセキュリティ修正が含まれます。
-
CVE-2021-32027: Buffer overrun from integer overflow in array subscripting calculations
- 9.6.x - 13.x バージョンで該当します。以前のバージョンでも該当する可能性があります。
- 添え字の整数をオーバーフローさせるケースで、SQL配列の境界検査が漏れており、不正なメモリ上書きの攻撃が可能でした。
-
CVE-2021-32028: Memory disclosure in
INSERT ... ON CONFLICT ... DO UPDATE- 9.6.x - 13.x バージョンで該当します。ただし、本構文を持つ9.5.xでも該当する可能性があります。
- オブジェクト作成権限を持ったユーザにより、作りこまれたテーブルに対して本構文を使うことでサーバ側メモリを読み取る攻撃が可能でした。
-
CVE-2021-32029: Memory disclosure in partitioned-table
UPDATE ... RETURNING- 11.x - 13.x バージョンで該当します。
- オブジェクト作成権限を持ったユーザによりサーバ側メモリ読み取りの攻撃が可能でした。
コメント