ITトレンドニュース

現地時間２０１７年５月１１日にPostgreSQLグローバルデベロップメントグループは、「 2017-05-11 Security Update Release」にて、新しくPostgreSQL 9.6.3、9.5.7、9.4.12、9.3.17、9.2.21をリリースアナウンスされたことが明らかとなりました。

新しいバージョン

PostgreSQLグローバルデベロップメントグループは、コミュニティ「 2017-05-11 Security Update Release」にて、現在サポートしているすべてのバージョンを対象とし、PostgreSQLをアップデートしてことを発表しました。

「2017-05-11 Security Update Release」で公開されたバージョンは以下のとおりです。

• PostgreSQL 9.6.3
• PostgreSQL 9.5.7
• PostgreSQL 9.4.12
• PostgreSQL 9.3.17
• PostgreSQL 9.2.21

今回のアップデートは、セキュリティアップデートとして公開され、３つの脆弱性を修正したと報告されている。

脆弱性の修正

PstgreSQLグローバルデベロップメントグループは、３つ脆弱性を以下のように公表している。

• CVE-2017-7484 ：selectivity estimatorsがSELECT権限チェックをバイパスします
• CVE-2017-7485 ：libpqはPGREQUIRESSL環境変数を無視します
• CVE-2017-7486 ：pg_user_mappingsビューは外部サーバーのパスワードを公開します

CVE-2017-7486の修正は、新しいデータベースに適用され、既存のデータベースに修正プログラムを適用する手順については、リリースノートに記載されているようだ。

その他にも、ここ３ヶ月で報告されたバグの修正も取り込まれているようだ。

その他の注意点

PGREQUIRESSL環境変数を使用して接続を制御するユーザーや、外部サーバーを使用するときにデータベースユーザー間のセキュリティ分離の機能を使用しているユーザーは、できるだけ早く更新することを推奨されている。

なお他のユーザーは、次回のダウンタイムで更新することが推奨されます。

PstgreSQLグローバルデベロップメントグループは、「PostgreSQL 9.2」が2017年9月に廃止される予定であることを公表している。

[ 2017-05-11 Security Update Release – PostgreSQL]