PostgreSQL 9.1/9.0/8.4/8.3系に脆弱性、該当ユーザーには対策版へのアップデートを推奨

末岡洋子
シェア

 The PostgreSQL Global Development Groupは8月17日、PostgreSQL 9.1系および9.0系、8.4系、8.3系の新版をリリースした。libxml2およびlibxsltに含まれるセキュリティホールを修正したもので、既存ユーザーにはできるだけ早くのアップデートが推奨されている。

 公開されたのはバージョン9.1.5および9.0.9、8.4.13、8.3.20。どのバージョンにおいても、libxsltに起因する脆弱性(CVE-2012-3488)およびlibxml2に起因する脆弱性(CVE-2012-3489)が修正されている。これらの脆弱性が悪用されると認証されていないデータベースユーザーによって任意のファイルの読み込みが可能となり、またファイルの書き出しも可能になるという。なお、この修正により後方互換性に一部影響が出ることも警告されている。

 このほか、PostgreSQL9.1.5では、タイムゾーンデータのアップデートやドキュメンテーションのアップデートと修正、max_wal_senderの上限の追加といったいくつかの修正も加えられている。ALTER TABLE ADD CONSTRAINT USING INDEXで生成された依存情報の修正、PL/Python向けユニコード変換の修正、fsyncリクエストキューオペレーションの改善なども加わっている。

PostgreSQL
http://www.postgresql.org/