PostgreSQLグローバルデベロップメントグループは11月9日(現地時間)、オープンソースのリレーショナルデータベースエンジン「PostgraSQL」の最新版となるPostgreSQL 16.1、15.5、14.10、13.13、12.17、および11.22をリリースした。このアップデートでは、深刻度が「重要」に分類されるバッファオーバーラン脆弱性を含む、計3件の脆弱性が修正された。その他に、過去数カ月間に報告された55以上のバグ修正が含まれている。

変更点の詳細は次のプレスリリースにまとめられている。

  • PostgreSQL: PostgreSQL 16.1、15.5、14.10、13.13、12.17、and 11.22 Released!

    PostgreSQL: PostgreSQL 16.1, 15.5, 14.10, 13.13, 12.17, and 11.22 Released!

修正された3件の脆弱性は次のとおり。

  • CVE-2023-5868 : 集約関数呼び出しにおけるメモリ漏洩(CVSSv3: 4.3)
  • CVE-2023-5869 : 配列変更時の整数オーバーフローによるバッファオーバーラン(CVSSv3: 8.8)
  • CVE-2023-5870 : pg_cancel_backendロールがスーパーユーザプロセスにシグナルを送信できる可能性がある(CVSSv3 2.2)

いずれの脆弱性も、11から16までのすべてのバージョンに影響する。特にCVE-2023-5869は、CVSSv3のベーススコアが"8.8"とされており、早急に対処することをお勧めする

また、このリリースにはインデックスの修正が含まれているため、場合によってはアップデート後にインデックスを再作成することが推奨されている。