PostgreSQL、9.6.3、9.5.7、9.4.12、9.3.17、9.2.21を公開

現地時間2017年5月11日にPostgreSQLグローバルデベロップメントグループは、「 2017-05-11 Security Update Release」にて、新しくPostgreSQL 9.6.3、9.5.7、9.4.12、9.3.17、9.2.21をリリースアナウンスされたことが明らかとなりました。
新しいバージョン
PostgreSQLグローバルデベロップメントグループは、コミュニティ「 2017-05-11 Security Update Release」にて、現在サポートしているすべてのバージョンを対象とし、PostgreSQLをアップデートしてことを発表しました。
「2017-05-11 Security Update Release」で公開されたバージョンは以下のとおりです。
- PostgreSQL 9.6.3
- PostgreSQL 9.5.7
- PostgreSQL 9.4.12
- PostgreSQL 9.3.17
- PostgreSQL 9.2.21
今回のアップデートは、セキュリティアップデートとして公開され、3つの脆弱性を修正したと報告されている。
脆弱性の修正
PstgreSQLグローバルデベロップメントグループは、3つ脆弱性を以下のように公表している。
- CVE-2017-7484 :selectivity estimatorsがSELECT権限チェックをバイパスします
- CVE-2017-7485 :libpqはPGREQUIRESSL環境変数を無視します
- CVE-2017-7486 :pg_user_mappingsビューは外部サーバーのパスワードを公開します
CVE-2017-7486の修正は、新しいデータベースに適用され、既存のデータベースに修正プログラムを適用する手順については、リリースノートに記載されているようだ。
その他にも、ここ3ヶ月で報告されたバグの修正も取り込まれているようだ。
その他の注意点
PGREQUIRESSL環境変数を使用して接続を制御するユーザーや、外部サーバーを使用するときにデータベースユーザー間のセキュリティ分離の機能を使用しているユーザーは、できるだけ早く更新することを推奨されている。
なお他のユーザーは、次回のダウンタイムで更新することが推奨されます。
PstgreSQLグローバルデベロップメントグループは、「PostgreSQL 9.2」が2017年9月に廃止される予定であることを公表している。
[ 2017-05-11 Security Update Release – PostgreSQL]
お気軽にお書きください