10.5, 9.6.10, 9.5.14, 9.4.19, 9.3.24 リリース (2018-08-09)

harukat2018/08/10 (金) - 09:40 に投稿

2018年8月9日、PostgreSQL のマイナーバージョンアップ 10.5、9.6.10、9.5.14、 9.4.19、9.3.24、および 11 BETA3がリリースされました。

バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。

https://www.postgresql.org/about/news/1878/

以下のセキュリティ障害修正が含まれています。

  • CVE-2018-10915 libpq にて接続を試行するごとに状態を完全にはリセットできておらず、
      修正されました。dblink や postgres_fdw の権限の無いユーザが、サーバを実行する OSユーザが所有する ~/.pgpassファイルなどの、サーバ側の認証情報ファイルの使用する攻撃がありえました。ローカル接続に peer認証を許可しているサーバは特に影響を受けます。postgres_fdw セッションへの SQLインジェクションなどの他の攻撃も可能です。

 

  • CVE-2018-10925 更新可能ビューの SELECTリストが元のテーブルの列と1対1で対応していない場合に「INSERT ... ON CONFLICT UPDATE」がクラッシュやエラーをもたらす可能性がありました。攻撃者が同テーブルの他の列にINSERTとUPDATE権限を持っている場合に、この障害を利用してUPDATE権限の無い列を更新でき、また、この障害を使ってサーバメモリの読み取りが可能でした。

タグ