2025年2月13日、PostgreSQL 17.3, 16.7, 15.11, 14.16, 13.19 がリリースされました。 セキュリティ修正を含むバグ修正のマイナーリリースとなります。
以下のセキュリティ修正が含まれます。
- libpq の PQescapeString と関連する関数が無効なエンコーディングの入力文字列に対して頑強になりました。13.x から 17.x のマイナーバージョン系列で該当します。特に直接サーバに送るSQL文に使う以外の用途のときに危険がありました。 (CVE-2025-1094)
また、17.x むけには、以下の非互換を伴う変更が含まれます。
- 接続要求での 64バイト以上の長いデータベース名とユーザ名の自動切り捨てが 16.x以前と同じ挙動に戻されました。
- 接続権限と接続数上限の検査からパラレルワーカーが除外されました。
- 待機イベント型が「LWLock」の待機イベント名から接尾辞「Lock」が取り除かれました。pg_stat_activityビューにあらわれる待機イベント名が pg_wait_eventsビューにあらわれるものと一致するようになりました。
詳細は以下ページを参照してください。
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/
コメント