2019年6月20日、PostgreSQLのマイナーバージョンアップ 11.4、10.9、9.6.14、9.5.18、9.4.23 がリリースされました。
バグ修正のリリースとなります。また、セキュリティ修正が含まれています。以下ページに詳しいリリース内容説明があります。
https://www.postgresql.org/about/news/1949/
セキュリティ修正の事項は以下で 10.x、11.x バージョン系列で該当します。
-
SCRAM検証のパース処理におけるバッファオーバフロー障害が修正されました。 (CVE-2019-10164)
パスワードを意図的に作りこんだ値に変更することで、スタックのバッファオーバフローを起こし、PostgreSQLサーバをクラッシュさせることができました。さらに PostgreSQLサーバを実行するOSユーザで任意コードを実行できる可能性もありました。
類似のオーバーフロー障害が libpq にもあり、これを使って不正なDBサーバがクライアントをクラッシュさせたり、クライアント側OSユーザで任意コードを実行させたりできる可能性がありました。
その他、誤った応答や予期せぬエラーをもたらすバグ、クラッシュやハングアップをもたらすバグの修正が各バージョン系列にいくつか適用されています。
コメント