PostgreSQLの複数脆弱性を修復するアップデートが公開 - JPCERT/CCレポート
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は8月20日、週次のセキュリティ関連情報をまとめるWeekly Report 2025-08-20号を発行した。同レポートはJPCERTコーディネーションセンター(JPCERT/CC)が企業や組織のシステム管理者を対象に過去数週間に公開された脆弱性情報の中から対策、パッチ情報やバージョンアップ情報なども含んだサマリーをまとめた週次のレポートになる。Weekly Report 2025-08-20号では、OSSのデータベースPostgreSQLにおけるスコア8.8を含む3つの脆弱性を修復するアップデートを紹介している。
PostgreSQL 17.6, 16.10, 15.14, 14.19, 13.22, and 18 Beta 3 Released!
8月14日にリリースされたPostgreSQL 17.6、16.10、15.14、14.19、13.22、18 Beta 3では、CVE-2025-8713(スコア3.1)、CVE-2025-8714(スコア8.8)、CVE-2025-8715(スコア8.8)各脆弱性の修正が実施された。
CVE-2025-8713は、オプティマイザの統計情報からアクセス制限されたデータの断片が漏洩する可能性があるという脆弱性。オプティマイザは、データ取得の際の処理速度やメモリの効率化を行えるもので近年の主要なRDBMS(リレーショナルデータベース管理システム）に備わっている機能だ。
CVE-2025-8714は、pg_dumpなどのバックアップコマンドで作成されるダンプファイルに不正なコマンドを埋め込むことでリストア時に任意のコードを実行される可能性があるという脆弱性。プレーン形式のダンプファイルは、SQLスクリプトがそのまま出力されるシンプルな形式であるため悪意あるスーパーユーザーがリストアを実行するクライアント端末を対象にコードを実行できる。CVSSスコア8.8の高危険度に分類されている。同様にCVE-2025-8715ではpg_dump等のリストアツールの修正を図っている。
