PostgreSQLグローバルデベロップメントグループは11月11日(米国時間)、「PostgreSQL: PostgreSQL 14.1, 13.5, 12.9, 11.14, 10.19, and 9.6.24 Released!」において、データベースシステム「PostgreSQL」についてサポートされているすべてのバージョンの最新版をリリースしたことを伝えた。このリリースには2件の脆弱性のほか、過去3カ月に報告された40を超えるバグが修正されているという。
今回のリリースで修正された脆弱性は次の2件で、いずれも9.6から14のバージョンが影響を受けるほか、それ以外のサポートされていないバージョンにも影響する可能性があるという。
- CVE-2021-23214: Server processes unencrypted bytes from man-in-the-middle
- CVE-2021-23222: libpq processes unencrypted bytes from man-in-the-middle
CVE-2021-23222は、サーバがclientcert要求付きのtrust認証かまたはcert認証を使用するように構成されている場合、SSL証明書の検証と暗号化を使用していたとしても、中間者攻撃者によって接続が最初に確立された際、接続が任意のSQLクエリを挿入される可能性があるというもの。CVSS v3のベーススコアは8.1で、深刻度は「Important(重要)」に分類される。
CVE-2021-23222は、クライアントがSSL証明書の検証と暗号化を使用していたとしても、中間攻撃者によって、最初のいくつかのクエリに対して誤ったレスポンスが挿入される可能性があるという脆弱性である。CVSS v3のベーススコアは3.7で、深刻度は「Attention(注意)」となっている。
その他の修正点や改善点は、上記のアナウンスか、または各バージョンのリリースノートを参照していただきたい。
また、今回のリリースはPostgreSQL 9.6の最後のアップデートになるという。実稼働環境でPostgreSQL 9.6を実行しているユーザは、後継バージョンへのアップグレードを計画することが推奨されている。