PostgreSQLグローバルデベロップメントグループは2月9日(現地時間)、オープンソースのリレーショナルデータベースマネージメントシステム(RDBMS)「PostgreSQL」の最新版となるバージョン15.2、14.7、13.10、12.14、および11.19をリリースした。このリリースには、1件の脆弱性に対する修正のほか、過去数か月間に報告された60を超えるバグの修正が含まれているという。

  • PostgreSQL: PostgreSQL 15.2、14.7、13.10、12.14、and 11.19 Released!

    PostgreSQL: PostgreSQL 15.2, 14.7, 13.10, 12.14, and 11.19 Released!

修正された脆弱性は「CVE-2022-41862」として追跡されているKerberos接続に関連する問題で、現在サポートされているバージョンのうち、バージョン12から15までが影響を受ける。詳細は、悪意を持って変更された認証されていないサーバまたは認証されていない中間者に対してKerberos暗号化接続を確立している最中に、不正な文字列が送信されることで、gssencmodeサーバがlibpqクライアントから過剰なバイトの読み取りを行うリスクがあるというもの。結果として、攻撃者が過剰読み取りされたバイトにアクセスして、そこに含まれる機密情報を読み取られる危険性があるという。

CVE-2022-2625の修正以外の変更点は、上記アナウンスのBug Fixes and Improvementsの項目または下記リリースノートを参考のこと。

なお、PostgreSQL 10系のバージョンについては2022年11月10日にEOL(End Of Life)を迎えており、サポート対象外となっている。まだPostgreSQL 10系を利用しているユーザは、早急にサポート期間内のバージョンにアップデートすることが推奨されている。