PostgreSQL Global Development Groupは1月7日(現地時間),PostgreSQLのセキュリティ・ホールとそれに対する修正リリースを公開した。影響を受けるのは8.2, 8.1, 8.0, 7.4 7.3系列で,深刻度は「critical(高)」。PostgreSQL Global Development Groupでは,データベース管理者に対しアップデートを呼びかけている。
公開されたセキュリティ・ホールは以下の通り。
index関数の権限の昇格(CVE-2007-6600):PostgreSQLにはユーザーがインデックスを作成できる「expression indexes」として知られる機能が存在する。この機能に関し(1)VACUUMとANALYZE実行中にスーパーユーザーとして実行されてしまう。(2)index関数の中でSET ROLEおよびSET SESSION AUTHORIZATIONが実行できてしまう。
正規表現によるサービス拒否攻撃(CVE-2007-4772,CVE-2007-6067,CVE-2007-4769):悪意のあるユーザーが,SQL文に特定の正規表現を埋め込むと,無限ループ,大量のメモリー消費,out-of-range backref値によるバックエンドのクラッシュが発生する場合がある。
DBlink特権の昇格(CVE-2007-6601):DBlink関数が,悪意のあるユーザーにより,ローカルな権限と組み合わせてスーパーユーザー特権を取得するために悪用される可能性がある。この脆弱性はDBlinkをインストールしていないユーザー,ローカルへのアクセスにパスワードをしようしているユーザーには影響しない。類似する脆弱性が以前のパッチで修正されているが(CVE-2007-3278参照),全てのケースについて修正できていなかった。
今回公開された最新バージョンは8.2.6, 8.1.11, 8.0.15, 7.4.19,7.3.21。PostgreSQL公式サイトなどからダウンロードできる。いずれもマイナー・バージョン・アップに際しデータベース・ファイルの互換性は保たれているという。
なお,PostgreSQL Global Development Groupでは,今回公開された7.3.21が,7.3系列の最後のアップデートになるとしている。最初のリリースから5年を経過したバージョンについてはサポートを終了するというリリース・ポリシーに基づくものだ。PostgreSQL Global Development Groupでは,7.3系列のユーザーに対し,7.4以上にアップデートするか,商用のパッチ提供サービスなどの利用を推奨している。
◎関連資料
◆2008-01-07 Cumulative Security Update Release
