By harukat, 17 5月, 2021 2021年 5月 13日、PostgreSQLのマイナーバージョンアップ 13.3、12.7、11.12、10.17、9.6.22 がリリースされました。 バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。 https://www.postgresql.org/about/news/postgresql-133-127-1112-1017-and-9622-released-2210/ 以下のセキュリティ修正が含まれます。 CVE-2021-32027: Buffer overrun from integer overflow in array subscripting calculations 9.6.x - 13.x バージョンで該当します。以前のバージョンでも該当する可能性があります。 添え字の整数をオーバーフローさせるケースで、SQL配列の境界検査が漏れており、不正なメモリ上書きの攻撃が可能でした。 CVE-2021-32028: Memory disclosure in INSERT ... ON CONFLICT ... DO UPDATE 9.6.x - 13.x バージョンで該当します。ただし、本構文を持つ9.5.xでも該当する可能性があります。 オブジェクト作成権限を持ったユーザにより、作りこまれたテーブルに対して本構文を使うことでサーバ側メモリを読み取る攻撃が可能でした。 CVE-2021-32029: Memory disclosure in partitioned-table UPDATE ... RETURNING 11.x - 13.x バージョンで該当します。 オブジェクト作成権限を持ったユーザによりサーバ側メモリ読み取りの攻撃が可能でした。 タグ ニュース コメント
コメント