PostgreSQLグローバルデベロップメントグループは11月9日(現地時間)、オープンソースのリレーショナルデータベースエンジン「PostgraSQL」の最新版となるPostgreSQL 16.1、15.5、14.10、13.13、12.17、および11.22をリリースした。このアップデートでは、深刻度が「重要」に分類されるバッファオーバーラン脆弱性を含む、計3件の脆弱性が修正された。その他に、過去数カ月間に報告された55以上のバグ修正が含まれている。
変更点の詳細は次のプレスリリースにまとめられている。
-
PostgreSQL: PostgreSQL 16.1, 15.5, 14.10, 13.13, 12.17, and 11.22 Released!
修正された3件の脆弱性は次のとおり。
- CVE-2023-5868 : 集約関数呼び出しにおけるメモリ漏洩(CVSSv3: 4.3)
- CVE-2023-5869 : 配列変更時の整数オーバーフローによるバッファオーバーラン(CVSSv3: 8.8)
- CVE-2023-5870 : pg_cancel_backendロールがスーパーユーザプロセスにシグナルを送信できる可能性がある(CVSSv3 2.2)
いずれの脆弱性も、11から16までのすべてのバージョンに影響する。特にCVE-2023-5869は、CVSSv3のベーススコアが"8.8"とされており、早急に対処することをお勧めする
また、このリリースにはインデックスの修正が含まれているため、場合によってはアップデート後にインデックスを再作成することが推奨されている。
