PostgreSQL - The world's most advanced open sorce database |
PostgreSQL Global Development Groupは17日(米国時間)、脆弱性に対応したPostgreSQLを公開した。PostgreSQLはBSDスタイルのライセンスを採用し、オープンソースのもと開発されているオブジェクトリレーショナルデータベース管理システム。公開されたバージョンは「9.1.5」「9.0.9」「8.4.13」「8.3.20」。
リリースされた各バージョンは共通して以下の2つの脆弱性に対処している。
- CVE-2012-3488 - PostgreSQLが使用するlibxsltライブラリに関する脆弱性
- CVE-2012-3489 - PostgreSQLが使用するlibxml2ライブラリに関する脆弱性
このセキュリティリリースでは、PostgreSQLにビルドインしているXML機能(libxml2)とオプショナルのXSLT機能(libxsltライブラリ)の脆弱性を修正している。2つの脆弱性はともに認証されたユーザがデータベースの任意のファイルを読み込めてしまう危険性があるというもの。また、XSLTの脆弱性を利用することで同様にファイルの書き込みができてしまうとしている。
開発チームはすべてのバージョンがこれら脆弱性の影響を受けるとしており、すべてのユーザに対してできるだけ早くアップグレードするように勧告している。また、組み込みのXML機能やXSLT機能が使用できなくなるため、これら利用しているユーザは機能を無効にする必要がある。
