13.3、12.7、11.12、10.17、9.6.22 がリリースされました

harukat2021/05/17 (月) - 08:56 に投稿

2021年 5月 13日、PostgreSQLのマイナーバージョンアップ 13.3、12.7、11.12、10.17、9.6.22 がリリースされました。

バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。

https://www.postgresql.org/about/news/postgresql-133-127-1112-1017-and-9622-released-2210/

以下のセキュリティ修正が含まれます。

  • CVE-2021-32027: Buffer overrun from integer overflow in array subscripting calculations

    • 9.6.x - 13.x バージョンで該当します。以前のバージョンでも該当する可能性があります。
    • 添え字の整数をオーバーフローさせるケースで、SQL配列の境界検査が漏れており、不正なメモリ上書きの攻撃が可能でした。
  • CVE-2021-32028: Memory disclosure in INSERT ... ON CONFLICT ... DO UPDATE

    • 9.6.x - 13.x バージョンで該当します。ただし、本構文を持つ9.5.xでも該当する可能性があります。
    • オブジェクト作成権限を持ったユーザにより、作りこまれたテーブルに対して本構文を使うことでサーバ側メモリを読み取る攻撃が可能でした。
  • CVE-2021-32029: Memory disclosure in partitioned-table UPDATE ... RETURNING

    • 11.x  - 13.x バージョンで該当します。
    • オブジェクト作成権限を持ったユーザによりサーバ側メモリ読み取りの攻撃が可能でした。

タグ