A.48. リリース 4.1.22

リリース日: 2024-09-09

A.48.1. 概要

このリリースには、セキュリティ修正が含まれています。

クエリキャッシュ機能(項5.13)が有効な時に、データベースユーザがクエリキャッシュ経由で本来読み出せない行を読むことが可能でした。(CVE-2024-45624)

4.5.4, 4.4.9, 4.3.12, 4.2.19, 4.1.22より古く、クエリキャッシュ機能を持つすべてのバージョン(クエリキャッシュ機能は3.2で実装されました)がこの脆弱性の影響を受けます。

Pgpool-II 4.5.4, 4.4.9, 4.3.12, 4.2.19, 4.1.22以降へのアップグレードを強くお勧めします。 それができない場合は、クエリキャッシュ機能を無効にしてください。

なお、この脆弱性を修正するために、いくつかのコマンド(ALTER DATABASE, ALTER ROLE, ALTER TABLE, REVOKE)を実行すると、クエリキャッシュのすべてのデータを削除するようになりました。 これにより、クエリキャッシュの性能に影響があるかも知れません。

A.48.2. 変更点

A.48.3. 不具合修正