A.80. リリース 4.0.22

リリース日: 2023-01-23

A.80.1. 概要

このリリースには、セキュリティ修正が含まれています。

以下の条件をすべて満たす場合、SHOW POOL_STATUSコマンドによりwd_lifecheck_userのパスワードが公開されます。このコマンドは、Pgpool-IIに接続できるすべてのユーザーが実行できます。(CVE-2023-22332)

上記条件のすべてに該当するユーザは、このバージョンにアップグレードするか (show pool_statusコマンドでwd_lifecheck_passwordが表示されなくなる)、次の回避策のいずれかを使用することを強くお勧めします。

4.0.x~4.4.xユーザ向けの回避策:

いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。

3.3.x~3.7.xユーザ向けの回避策:

いずれにせよ、PostgreSQLwd_lifecheck_passwordを変更することをお勧めします。

Pgpool-II 3.7.xおよび以前のバージョンはサポートが終了しているため、これらのバージョンのマイナーアップデートはリリースされません。

A.80.2. 変更点

A.80.3. 不具合修正

A.80.4. ドキュメント修正