PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, 12.21がリリース、深刻な脆弱性を修正

PostgreSQL Global Development Groupは、PostgreSQL 17.1、16.5、15.9、14.14、13.17、12.21の各マイナーバージョンをリリースしました。今回のアップデートでは、深刻度が高い脆弱性CVE-2024-10977を含む複数のセキュリティ上の問題が修正されています。この脆弱性は、特定のPLライブラリ関数を利用して環境変数を不正に操作し、任意のコード実行や情報の漏洩を招く恐れがあるものです。これまでは環境変数の設定が十分に制限されていなかったため、認証済みのユーザーがシステム権限を昇格させるリスクがありました。この問題はPostgreSQL 12から17のすべての世代に影響します。技術的な詳細として、一部の拡張機能やプログラミング言語インターフェースにおける「SET」コマンドの処理が見直されました。これにより、特権を持たないユーザーがプロセス実行時の環境変数を書き換えることができなくなっています。また、今回のリリースには20件以上のバグ修正も含まれており、クエリプランナーの最適化ミスや、特定のインデックススキャンにおけるデータ整合性の問題が改善されました。特に論理レプリケーションやパラレルクエリを使用している環境では、動作の安定性が向上しています。PostgreSQL 12については、これが最終のマイナーリリースとなる予定であるため、利用者は速やかに上位バージョンへのアップグレード計画を立てる必要があります。その他のバージョンを利用している管理者も、ダウンタイムを調整した上で、バイナリの入れ替えとサービス再起動を行うことが強く推奨されます。修正内容にはデータの互換性に影響する破壊的変更は含まれていないため、通常のマイナーアップデート手順で適用可能です。