Pgpool-II 4.1.23 文書 | |||
---|---|---|---|
前のページ | 上に戻る | 付録 A. リリースノート | 次のページ |
リリース日: 2023-01-23
このリリースには、セキュリティ修正が含まれています。
以下の条件をすべて満たす場合、SHOW POOL_STATUSコマンドによりwd_lifecheck_userのパスワードが公開されます。このコマンドは、Pgpool-IIに接続できるすべてのユーザーが実行できます。(CVE-2023-22332)
バージョン3.3以降
use_watchdogがonに設定されている
wd_lifecheck_methodにqueryが設定されている
wd_lifecheck_passwordにプレーンテキストのパスワードが設定されている
上記条件のすべてに該当するユーザは、このバージョンにアップグレードするか (show pool_statusコマンドでwd_lifecheck_passwordが表示されなくなる)、次の回避策のいずれかを使用することを強くお勧めします。
4.0.x~4.4.xユーザ向けの回避策:
Watchdogを無効にする。(use_watchdogをoffに設定する)
wd_lifecheck_methodにheartbeatを設定する。
wd_lifecheck_passwordには空文字を設定し、パスワードはpool_passwdファイルに設定する。
wd_lifecheck_passwordにAESで暗号化したパスワードを設定する。
いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。
3.3.x~3.7.xユーザ向けの回避策:
Watchdogを無効にする。(use_watchdogをoffに設定する)
wd_lifecheck_methodにheartbeatを設定する。
いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。
Pgpool-II 3.7.xおよび以前のバージョンはサポートが終了しているため、これらのバージョンのマイナーアップデートはリリースされません。
SHOW POOL_STATUS、pcp_pool_statusおよびpgpool_adm_pcp_pool_statusコマンドでwd_lifecheck_passwordを表示しないように修正しました。(CVE-2023-22332) (Bo Peng)
ドキュメントに記載されているように、wd_lifecheck_passwordのデフォルト値を空の文字列に変更しました。(Bo Peng)
pgpool-regclass.cのコンパイラ警告を修正しました。(Florian Weimer, Tatsuo Ishii)
共有メモリ使用時の設定の章のいくつかの誤りを修正し、説明を強化しました。(Tatsuo Ishii)