Pgpool-II 4.4.2 文書 | |||
---|---|---|---|
前のページ | 上に戻る | 付録 A. リリースノート | 次のページ |
リリース日: 2023-01-23
このリリースには、セキュリティ修正が含まれています。
以下の条件をすべて満たす場合、SHOW POOL_STATUSコマンドによりwd_lifecheck_userのパスワードが公開されます。このコマンドは、Pgpool-IIに接続できるすべてのユーザーが実行できます。(CVE-2023-22332)
バージョン3.3以降
use_watchdogがonに設定されている
wd_lifecheck_methodにqueryが設定されている
wd_lifecheck_passwordにプレーンテキストのパスワードが設定されている
上記条件のすべてに該当するユーザは、このバージョンにアップグレードするか (show pool_statusコマンドでwd_lifecheck_passwordが表示されなくなる)、次の回避策のいずれかを使用することを強くお勧めします。
4.0.x~4.4.xユーザ向けの回避策:
Watchdogを無効にする。(use_watchdogをoffに設定する)
wd_lifecheck_methodにheartbeatを設定する。
wd_lifecheck_passwordには空文字を設定し、パスワードはpool_passwdファイルに設定する。
wd_lifecheck_passwordにAESで暗号化したパスワードを設定する。
いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。
3.3.x~3.7.xユーザ向けの回避策:
Watchdogを無効にする。(use_watchdogをoffに設定する)
wd_lifecheck_methodにheartbeatを設定する。
いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。
Pgpool-II 3.7.xおよび以前のバージョンはサポートが終了しているため、これらのバージョンのマイナーアップデートはリリースされません。
SHOW POOL_STATUS、pcp_pool_statusおよびpgpool_adm_pcp_pool_statusコマンドでwd_lifecheck_passwordを表示しないように修正しました。(CVE-2023-22332) (Bo Peng)
ドキュメントに記載されているように、wd_lifecheck_passwordのデフォルト値を空の文字列に変更しました。(Bo Peng)
pgpool_adm: pcp_pool_status関数がPostgreSQL 15で失敗する問題を修正しました。(Tatsuo Ishii)
pcp_pool_status関数は実際にはSETOF recordを返しますが、「RETURNS record」と宣言されていました。 これはPostgreSQL 14までは許容されていましたが、PostgreSQL 15ではより厳しくなりました。 これを修正するために、pcp_pool_statusの戻り値の型を「RETURNS record」から「RETURNS SETOF record」に変更しました。
また、pgpool_adm拡張機能のバージョンを1.5に上げました。
ストリーミングレプリケーションチェックでの整数オーバーフローを修正しました。(Tatsuo Ishii)
delay_threshold_by_time が有効で、レプリケーションの遅延が約36分を超えると、整数オーバーフローエラーがログに記録され、レプリケーションチェックが失敗しました。
pgpool-regclass.cのコンパイラ警告を修正しました。(Florian Weimer, Tatsuo Ishii)
Coverityによって指摘された初期化されていない変数を修正しました。(Takuma Hoshiai)
共有メモリ使用時の設定の章のいくつかの誤りを修正し、説明を強化しました。(Tatsuo Ishii)
delay_threshold_by_timeの説明を強化しました。(zam bak, Tatsuo Ishii)