PostgreSQLグローバルデベロップメントグループは2月11日(米国時間)、「PostgreSQL: PostgreSQL 13.2, 12.6, 11.11, 10.16, 9.6.21, and 9.5.25 Released!」において、サポートされているすべてのバージョンのPostgreSQLの最新版の公開を伝えた。公開されたプロダクトおよびバージョンは次のとおり。

  • PostgreSQL 13.2
  • PostgreSQL 12.6
  • PostgreSQL 11.11
  • PostgreSQL 10.16
  • PostgreSQL 9.6.21
  • PostgreSQL 9.5.25

今回のアップデートには次の2つの脆弱性に関する修正が含まれている。

  • CVE-2021-3393: パーティションテーブルにおいてUPDATE権限を持つが、一部のカラムに対してのSELECT権限は持っていないユーザーが、エラーメッセージからdenied-columnの値を取得できてしまう脆弱性。対象バージョン11〜13
  • CVE-2021-20229: 各カラムに対してSELECT権限を持っているユーザーが、テーブルのすべてのカラムの値を取得する特別なクエリを作成できてしまう脆弱性。対象バージョン13

脆弱性以外にはこの3カ月間で実施された80を超えるバグ修正やタイムゾーンデータのアップデートが含まれている。なお、今回のリリースがPostgreSQL 9.5系サイトのリリースになる点に注意が必要。PostgreSQL 9.5系を使っている場合は、サポートが提供されているほかのバージョンへアップグレードすることが推奨されている。

  • PostgreSQL - The world's most advanced open sorce database

    PostgreSQL - The world's most advanced open sorce database

今回のアップデートはほかのマイナーリリースと同様に、アップデートを実施するにあたってデータベースのダンプおよびリロードなどは必要ない。PostgreSQLを終了し、バイナリを更新することでアップデート可能とされている。