10.5, 9.6.10, 9.5.14, 9.4.19, 9.3.24 リリース (2018-08-09)
2018年8月9日、PostgreSQL のマイナーバージョンアップ 10.5、9.6.10、9.5.14、 9.4.19、9.3.24、および 11 BETA3がリリースされました。
バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。
https://www.postgresql.org/about/news/1878/
以下のセキュリティ障害修正が含まれています。
- CVE-2018-10915 libpq にて接続を試行するごとに状態を完全にはリセットできておらず、
修正されました。dblink や postgres_fdw の権限の無いユーザが、サーバを実行する OSユーザが所有する ~/.pgpassファイルなどの、サーバ側の認証情報ファイルの使用する攻撃がありえました。ローカル接続に peer認証を許可しているサーバは特に影響を受けます。postgres_fdw セッションへの SQLインジェクションなどの他の攻撃も可能です。