PostgreSQL - The world's most advanced open sorce database

PostgreSQL Global Development Groupより、脆弱性およびバグを修正したPostgreSQLが公開された。PostgreSQLはBSDスタイルのライセンスを採用し、オープンソースのもと開発されているオブジェクトリレーショナルデータベース管理システム。公開されたバージョンは「9.1.4」「9.0.8」「8.4.12」「8.3.19」。

リリースされた各バージョンは共通して以下の2つの脆弱性に対処している。

  • CVE-2012-2143 - contribおよびpgcryptoモジュール内のcrypt()関数のパスワード変換に誤りが生じる問題
  • CVE-2012-2655 - SECURITY DEFINERおよびSET属性をコールハンドラに適用した時にクラッシュする問題

pgcryptoモジュール内にあるcrypt()関数にパスワード変換を謝る脆弱性が見つかっており、この脆弱性を突かれてパスワードを短くされる可能性があるという。この脆弱性の影響を受けたパスワードは0x80のバイト値がパスワードに含まれるとし、このバイト値が入ったパスワードがある場合はアップデートするだけでなく、パスワードを再生成する必要があるとしている。

コールハンドラにSECURITY DEFINERおよびSET属性を適用するとサーバがクラッシュするという脆弱性が見つかっており、DoS攻撃を受ける可能性があるため、これら属性を無効にしたとしている。また、上記以外にも各バージョンとも前バージョンにあった様々な問題がフィックスされており、9.1.4では42件の修正が行われている。

開発チームはすべてのバージョンがこれら脆弱性の影響を受けるとしており、すべてのユーザに対してできるだけ早くアップグレードするように勧告している。