「PostgreSQL」にアップデート、脆弱性を修正 - 「同12」はサポート終了へ
データベース「PostgreSQL」の開発チームは、現地時間11月14日にアップデートをリリースした。報告を受けた4件の脆弱性や35件以上のバグを修正している。
今回のアップデートでは、「PL/Perl」の環境変数を操作することでコードを実行されるおそれがある「CVE-2024-10979」を修正した。
セキュリティポリシーを回避してデータを操作できる可能性のある「CVE-2024-10976」や、セッションの認可において誤ったユーザーIDにリセットされる脆弱性「CVE-2024-10978」に対処。あわせて「libpq」におけるエラーメッセージ処理に関する脆弱性「CVE-2024-10977」を解消している。
共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、今回修正されたなかで「CVE-2024-10979」がもっとも高く、「8.8」と評価した。「CVE-2024-10976」「CVE-2024-10978」がともに「4.2」で続く。
また今回のアップデートでは、セキュリティ修正に加え、多数のバグ修正や機能の改善なども実施。「同17.1」「同16.5」「同15.9」「同14.14」「同13.17」「同12.21」を提供している。
なお、「同12」系については今回のリリースを最後にサポートが終了となるため、引き続きサポートが提供されるバージョンへの移行を呼びかけている。
(Security NEXT - 2024/11/21 )
ツイート
PR
関連記事
研究科サーバにサイバー攻撃、他機関のサーバ経由で - 神戸大
書籍購入者向けシステムでメアドなどが閲覧可能に - 金原出版
障害復旧作業用HDDが所在不明、内部の生徒情報 - 浦添市
元職員が個人情報を持出、サークル勧誘に利用 - 横須賀市の病院
サーバデータが暗号化被害、内部に個人情報 - タカカツグループHD
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
セキュリティスキャナ「Trivy」に不正コード混入 - 侵害有無の調査を
体験型サービスの会員向けメールで誤送信 - キリンビール
