2023年 11月 9日、PostgreSQLのマイナーバージョン 16.1、15.5、14.10、13.13、12.17、11.22 がリリースされました。
バグ修正のリリースとなります。また、本リリースで 11.x バージョンは最終リリースとなります。
以下のセキュリティ修正が含まれます。いずれも 11.x から 16.x の全マイナーバージョン系列で該当します。
- CVE-2023-5868 : "any" 型引数をとる集約関数を DISTINCT を付与して実行する場合について修正されました。
- テキスト型の値を不明なデータ型の値として扱って、サーバメモリ露出が生じる可能性がありました。
- CVE-2023-5869 : 配列データ型で添え字の整数オーバーフローが見過ごされる場合があり、修正されました。
- 潜在的に任意コード実行やサーバメモリの暴露が可能でした。
- CVE-2023-5870 : pg_signal_backend ロールから バックグラウンドワーカプロセスと autovacuum のプロセスへのシグナル送信が防止されました。
- ドキュメントではスーパーユーザ所有のプロセスにはシグナル送信できないとされていましたが、実際には可能でした。
詳細は以下ページを参照してください。
https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/
コメント