PostgreSQLグローバルデベロップメントグループは8月11日(現地時間)、オープンソースのリレーショナルデータベースマネージメントシステム(RDBMS)「PostgreSQL」の最新版となるバージョン14.5、13.8、12.12、11.17、10.22および15 Beta 3をリリースした。

このリリースには、1件の脆弱性に対する修正のほか、40を超えるバグの修正が含まれているという。

PostgreSQL: PostgreSQL 14.5, 13.8, 12.12, 11.17, 10.22, and 15 Beta 3 Released!

修正された脆弱性は、「CVE-2022-2625」として追跡されている拡張機能に関連する問題で、現在サポートされている10から14までのすべてのバージョンが影響を受ける。これは、CREATE OR REPLACEまたはCREATE IF NOT EXISTSを使用する拡張機能において、特定の条件が満たされた場合に、「拡張機能のメンバーであることが判明しているオブジェクトのみを対象とする」という規則に従わず、拡張機能に属さないオブジェクトを置き換えることができてしまうというもの。攻撃者によって悪用されると、スーパーユーザを含むユーザのロールで、任意のコードを実行可能だという。

CVE-2022-2625の修正以外の変更点は、上記アナウンスのBug Fixes and Improvementsの項目または下記リリースノートを参考のこと。

今回リリースされた各バージョンのうち、PostgreSQL 15 Beta 3については、時期メジャーリリースバージョンであるバージョン15の3つ目のベータ版となる。PostgreSQL 15は2022年第3四半期の後半にリリースされる予定となっている。

また、PostgreSQL 10は現在はサポート対象に含まれているが、2022年11月10日にEOL(End Of Life)を迎える予定となっている。EOL以降はすべてのアップデートが提供されなくなるため、まだ使用しているユーザは、早急にPostgreSQL 11以降のバージョンにアップグレードすることが推奨されている。