PostgreSQL - The world's most advanced open sorce database |
PostgreSQL Global Development Groupよりセキュリティホールを修正したPostgreSQLが公開された。PostgreSQLはBSDライセンスに似たライセンスを採用し、オープンソースのもと開発されているオブジェクトリレーショナルデータベース管理システム。公開されたバージョンは「9.1.3」、「9.0.7」、「8.4.11」、「8.3.18」。
リリースされた9.1.3、9.0.7、8.4.11は共通して以下の3つのセキュリティホールの修正が行われている。また、8.3.18も「CVE-2012-0866」と「CVE-2012-0868」の問題が解決されている。
- CVE-2012-0866 - トリガによって呼び出される関数の権限がチェックされない。
- CVE-2012-0867 - SSL証明書の名前チェックが32文字に切りつめられ、スプーフィングによる接続を許可してしまう。
- CVE-2012-0868 - pg_dumpファイルをロードした時、オブジェクト名の改行を悪用してコードを実行できる
これらのセキュリティホールによってデータの操作やスプーフィング攻撃を受けるなど悪用される可能性があった。また上記以外にも各バージョンとも前バージョンにあった様々な問題がフィックスされており、9.1.3では45件の修正が行われているとしている。
開発チームはpg_dumpファイルを使用しているユーザやSSL認証を使用しているユーザなど公開されたセキュリティホールに該当するすべてのユーザに対してできるだけ早くアップグレードするよう勧告している。