PostgreSQLグローバルデベロップメントグループは2月8日(現地時間)、オープンソースのリレーショナルデータベースエンジン「PostgraSQL」の最新版となるPostgreSQL 16.2、15.6、14.11、13.14、および12.18をリリースした。このアップデートでは、深刻度が「重要」に分類される任意SQL実行が可能な脆弱性(CVE-2024-0985)が修正されたほか、65件を超える既知のバグの修正が行われた。

変更点の詳細は次のプレスリリースにまとめられている。

  • PostgreSQL: PostgreSQL 16.2、15.6、14.11、13.14、and 12.18 Released!

    PostgreSQL: PostgreSQL 16.2, 15.6, 14.11, 13.14, and 12.18 Released!

脆弱性「CVE-2024-0985」の概要

今回のアップデートで修正されたのはCVE-2024-0985として追跡されている脆弱性で、バージョン12系から16系までのすべてのバージョンが影響を受ける。11系のバージョンもおそらく影響を受けるが、既に2023年11月9日にサポートが終了しているため、影響の評価は行われておらずアップデートも提供されない。

この脆弱性は、マテリアライズドビューを使用している場合に、そのビューの所有者がより高い権限で任意のSQLを実行できる可能性があるというもの。具体的には、マテリアライズドビューの所有者がスーパーユーザーをはじめとするより高い権限のユーザーにそのビューで並列リフレッシュをリクエストできる場合に、ビューの所有者はREFRESHを実行しているユーザーの権限で任意のコードを制御できる。対象のコードはビューの所有者として実行される。

CVE-2024-0985のCVSS v3ベーススコアは8.0で深刻度「重要(Important)」として評価されており、早急な対処が推奨されている。