PostgreSQLのセキュリティアップデートが緊急リリース

OSSのRDBMSであるPostgreSQLで、予告されていたセキュリティアップデートがリリースされた。ユーザーは速やかなアップデートを。

[原田美穂，＠IT]

　2013年4月4日、PostgreSQLで「深刻な脆弱性」に対応するためのマイナーアップデートがリリースされた。

　今回発見された脆弱性は、DBの正規アカウントを持たないユーザーがpsqlなどでDB接続しようとするだけでDBを破壊できるというもの。「-」で始まるユーザー名で接続すると、データベースサーバのデータディレクトリ構造などに影響を与える可能性がある。一般ユーザー権限で実行できることから、ユーザーには速やかなアップデートを呼び掛けている。

　もし即時のアップデートが困難な場合は、一時的にオープンなネットワークからPostgreSQLへの接続を制限するといった回避策も検討する必要があるだろう。

　アップデートの対象は以下のバージョン。7.4系、8.0〜3系は保守が終了していることからリリースはない。

• 8.4.17
• 9.2.4
• 9.1.9
• 9.0.13

　今回のマイナーバージョンアップではこの他に、contrib/pgcryptoを使って生成した乱数が容易に推測される問題や、バックアップ中に特権ユーザー以外からのコマンドを受け付けてしまう問題、Linux版とMac OS XにおけるGUIインストーラの不具合などの修正も含まれる。また、このアップデートにはGiSTインデックス管理の不具合パッチも含まれているため、アップデート後には全てのGiSTインデックスを生成し直す必要があるとしている。

PostgreSQLのWebサイトではトップページで告知している