2018年8月9日、PostgreSQL のマイナーバージョンアップ 10.5、9.6.10、9.5.14、 9.4.19、9.3.24、および 11 BETA3がリリースされました。
バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。
https://www.postgresql.org/about/news/1878/
以下のセキュリティ障害修正が含まれています。
- CVE-2018-10915 libpq にて接続を試行するごとに状態を完全にはリセットできておらず、
修正されました。dblink や postgres_fdw の権限の無いユーザが、サーバを実行する OSユーザが所有する ~/.pgpassファイルなどの、サーバ側の認証情報ファイルの使用する攻撃がありえました。ローカル接続に peer認証を許可しているサーバは特に影響を受けます。postgres_fdw セッションへの SQLインジェクションなどの他の攻撃も可能です。
- CVE-2018-10925 更新可能ビューの SELECTリストが元のテーブルの列と1対1で対応していない場合に「INSERT ... ON CONFLICT UPDATE」がクラッシュやエラーをもたらす可能性がありました。攻撃者が同テーブルの他の列にINSERTとUPDATE権限を持っている場合に、この障害を利用してUPDATE権限の無い列を更新でき、また、この障害を使ってサーバメモリの読み取りが可能でした。
コメント