「PostgreSQL 13.2」が公開、バージョン9.5系はEOLに

末岡洋子
シェア

 オープンソースのリレーショナルデータベース「PostgreSQL」を開発するPostgreSQL Global Development Groupは2月11日、最新安定版となる「PostgreSQL 13.2」を公開した。セキュリティ脆弱性の修正が特徴となる。

 PostgreSQL 13.2は、2020年9月に公開されたバージョン13系の最新安定版となる。2件のセキュリティ上の脆弱性を修正したほか、80件以上のバグに対応した。

 1件目のセキュリティ脆弱性は、パーティションテーブルでUPDATE特権を持つが一部のカラムでSELECT特権を持たないユーザーが、エラーメッセージから権限のないカラムのバリューを取得できるもので、CVE-2021-3393と識別されている。影響するのは11〜13系。この脆弱性はバージョン9系で修正済みのCVE-2014-8161に似ているが、悪用される条件は少ないとしている。2件目は13系のみの脆弱性で、あるカラムでSELECT特権を持つユーザーがテーブルの全カラムを返す特別なクエリを作成できるというもの(CVE-2021-20229)。

 このほか、バグの修正としては、GiSTインデックスで、並列挿入時にインデックスを破損する可能性のある問題などが修正されている。

 開発チームは同日、12系(12.6)、11系(11.11)、10系(10.16)、9系(9.6.21および9.5.25)についても、セキュリティやバグを修正したリリースを公開した。なお、9.5系は今回のバージョン9.5.25が最後のバージョンとなる。運用環境で9.5系を動かしている場合、アップデートを呼びかけている。

PostgreSQL
https://www.postgresql.org