2024年 5月 9日、PostgreSQLのマイナーバージョン 17.1, 16.5, 15.9, 14.14, 13.17, 12.21 がリリースされました。バグ修正のリリースとなります。また、12.x 系列は今月でメンテナンス終了となります。
以下のセキュリティ修正が含まれます。12.x から 17.x のマイナーバージョン系列で該当します。
- CVE-2024-10976:ユーザ変更を伴う問い合わせで行単位セキュリティに脆弱性があり、修正されました。
- CVE-2024-10977:libpq が SSL/GSSのプロトコルネゴシエーション中のサーバからのエラーメッセージを破棄するようになりました。これにより中間者攻撃を防止します。
- CVE-2024-10978:SET ROLE、SET SESSION AUTHORIZATION を用いる場合に意図しない権限付与の可能性があり、修正されました。
- CVE-2024-10979:PL/Perl でプロセスの環境変数を変えることで任意コード実行が可能となる脆弱性があり、修正されました。
詳細は以下ページを参照してください。
https://www.postgresql.org/about/news/postgresql-171-165-159-1414-1317-and-1221-released-2955/
コメント