拡張スクリプトの不具合を修正した「PostgreSQL 14.5」が公開

 The PostgreSQL Global Development Groupは8月11日、オープンソースのリレーショナルデータベースの最新版となる「PostgreSQL 14.5」を公開した。

 PostgreSQL 14.5は2021年10月に公開されたバージョン14系の最新版。過去3ヶ月に報告されたセキュリティ上の脆弱性1件、40以上の不具合を修正した。

 セキュリティでは、CVE-2022-2625を修正した。拡張スクリプトが拡張に属していないオブジェクトを置き換えてしまう脆弱性。攻撃者は、スーパーユーザー権限などターゲットの役割として任意のコードを走らせることができるという。なお、コアサーバーでブロックするため、個々の拡張を修正する必要はないとしている。この脆弱性はバージョン10系〜14系が影響を受ける。開発チームは合わせて、バージョン10、11、12、13に対しても最新版(10.22、11.17、12.12、13.8)を同時に公開している。なお、バージョン10系については、11月10日にEOLを迎えることから、運用環境で動かしているユーザーにアップグレードを推奨している。不具合の修正では、CREATE INDEXの権限チェック、拡張統計の権限チェックコード、論理レプリケーションのサブスクリプションのメモリリークにつながる不具合などが修正されている。

 開発チームは合わせて、次期メジャーリリースとなる「PostgreSQL 15」のベータも公開している。

PostgreSQL
https://www.postgresql.org