| 概要 | Exposure of sensitive information due to incompatible policies issue exists in Pgpool-II. If a database user accesses a query cache, table data unauthorized for the user may be retrieved. |
|---|---|
| 公表日 | 2024年9月12日14:15 |
| 登録日 | 2024年9月12日20:00 |
| 最終更新日 | 2024年9月12日14:15 |
| タイトル | Pgpool-IIにおける情報漏えいの脆弱性 |
|---|---|
| 概要 | Pgpool-IIは、PostgreSQLのクラスタ管理ツールです。Pgpool-IIのクエリキャッシュ機能には、情報漏えい(CWE-213)の脆弱性があります。 この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 |
| 想定される影響 | データベースユーザがクエリキャッシュにアクセスすることにより、本来そのユーザに取得が許可されていないテーブルのデータを取得される可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。<ul><li>Pgpool-II 4.5.4(4.5系)</li><li>Pgpool-II 4.4.9(4.4系)</li><li>Pgpool-II 4.3.12(4.3系)</li><li>Pgpool-II 4.2.19(4.2系)</li><li>Pgpool-II 4.1.22(4.1系)</li></ul>Pgpool-II 3.2系から 4.0系まではサポートが終了しているため、修正版はリリースされません。 Pgpool-II 4.0系およびそれ以前のバージョンを使用している場合は、Pgpool-II 4.1系以降の最新バージョンへのアップグレードを検討してください。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。<ul><li>クエリキャッシュの利用を止める(memory_cache_enabled = off)</li></ul> |
| 公表日 | 2024年9月9日0:00 |
| 登録日 | 2024年9月9日14:16 |
| 最終更新日 | 2024年9月9日14:16 |
| PgPool Global Development Group |
| Pgpool-II 3.2系のすべてのバージョン |
| Pgpool-II 3.3系のすべてのバージョン |
| Pgpool-II 3.4系のすべてのバージョン |
| Pgpool-II 3.5系のすべてのバージョン |
| Pgpool-II 3.6系のすべてのバージョン |
| Pgpool-II 3.7系のすべてのバージョン |
| Pgpool-II 4.0系のすべてのバージョン |
| Pgpool-II 4.1.0から4.1.21までのバージョン(4.1系) |
| Pgpool-II 4.2.0から4.2.18までのバージョン(4.2系) |
| Pgpool-II 4.3.0から4.3.11までのバージョン(4.3系) |
| Pgpool-II 4.4.0から4.4.8までのバージョン(4.4系) |
| Pgpool-II 4.5.0から4.5.3までのバージョン(4.5系) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2024年09月09日] 掲載 |
2024年9月4日15:52 |