PostgreSQL Global Development Groupは1月7日（現地時間），PostgreSQLのセキュリティ・ホールとそれに対する修正リリースを公開した。影響を受けるのは8.2, 8.1, 8.0, 7.4 7.3系列で，深刻度は「critical（高）」。PostgreSQL Global Development Groupでは，データベース管理者に対しアップデートを呼びかけている。

　公開されたセキュリティ・ホールは以下の通り。

index関数の権限の昇格（CVE-2007-6600）：PostgreSQLにはユーザーがインデックスを作成できる「expression indexes」として知られる機能が存在する。この機能に関し（1）VACUUMとANALYZE実行中にスーパーユーザーとして実行されてしまう。(2)index関数の中でSET ROLEおよびSET SESSION AUTHORIZATIONが実行できてしまう。

正規表現によるサービス拒否攻撃（CVE-2007-4772，CVE-2007-6067，CVE-2007-4769）：悪意のあるユーザーが，SQL文に特定の正規表現を埋め込むと，無限ループ，大量のメモリー消費，out-of-range backref値によるバックエンドのクラッシュが発生する場合がある。

DBlink特権の昇格（CVE-2007-6601）：DBlink関数が，悪意のあるユーザーにより，ローカルな権限と組み合わせてスーパーユーザー特権を取得するために悪用される可能性がある。この脆弱性はDBlinkをインストールしていないユーザー，ローカルへのアクセスにパスワードをしようしているユーザーには影響しない。類似する脆弱性が以前のパッチで修正されているが(CVE-2007-3278参照)，全てのケースについて修正できていなかった。

　今回公開された最新バージョンは8.2.6, 8.1.11, 8.0.15, 7.4.19，7.3.21。PostgreSQL公式サイトなどからダウンロードできる。いずれもマイナー・バージョン・アップに際しデータベース・ファイルの互換性は保たれているという。

　なお，PostgreSQL Global Development Groupでは，今回公開された7.3.21が，7.3系列の最後のアップデートになるとしている。最初のリリースから5年を経過したバージョンについてはサポートを終了するというリリース・ポリシーに基づくものだ。PostgreSQL Global Development Groupでは，7.3系列のユーザーに対し，7.4以上にアップデートするか，商用のパッチ提供サービスなどの利用を推奨している。

◎関連資料
◆2008-01-07 Cumulative Security Update Release