From pengbo ＠ sraoss.co.jp  Mon Jan 23 11:19:53 2023
From: pengbo ＠ sraoss.co.jp (Bo Peng)
Date: Mon, 23 Jan 2023 11:19:53 +0900
Subject: [pgpool-general-jp: 1722]
 =?iso-2022-jp?b?UGdwb29sLUlJIDQuNC4yLCA0LjMuNSwgNC4yLjEyLCA0LjEu?=
 =?iso-2022-jp?b?MTUsIDQuMC4yMiAbJEIkciVqJWohPCU5JDckXiQ3JD8hIxsoQg==?=
Message-ID: <20230123111953.65bbc5600534713f9ceb4b47@sraoss.co.jp>

Pgpool-II 4.4.2, 4.3.5, 4.2.12, 4.1.15, 4.0.22 をリリースしましたので、
お知らせいたします。

このリリースには、セキュリティ修正が含まれています。

以下の条件をすべて満たす場合、SHOW POOL_STATUSコマンドによりwd_lifecheck_userのパスワードが公開されます。
このコマンドは、Pgpool-IIに接続できるすべてのユーザーが実行できます。(CVE-2023-22332)

* バージョン3.3以降
* use_watchdogがonに設定されている
* wd_lifecheck_methodにqueryが設定されている
* wd_lifecheck_passwordに平文のパスワードが設定されている 

上記条件のすべてに該当するユーザは、これらの最新バージョンにアップグレードするか
(show pool_statusコマンドでwd_lifecheck_passwordが表示されなくなる)、
次の回避策のいずれかを使用することを強くお勧めします。

4.0.x〜4.4.xユーザ向けの回避策:

* Watchdogを無効にする。(use_watchdogをoffに設定する)
* wd_lifecheck_methodにheartbeatを設定する。
* wd_lifecheck_passwordには空文字を設定し、パスワードはpool_passwdファイルに設定する。
* wd_lifecheck_passwordにAESで暗号化したパスワードを設定する。 

いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。

3.3.x〜3.7.xユーザ向けの回避策:

* Watchdogを無効にする。(use_watchdogをoffに設定する)
* wd_lifecheck_methodにheartbeatを設定する。 

いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。

Pgpool-II 3.7.xおよび以前のバージョンはサポートが終了しているため、
これらのバージョンのマイナーアップデートはリリースされません。 

変更点についてはリリースノートをご覧ください。

  https://www.pgpool.net/docs/latest/ja/html/release.html

以下からダウンロードすることができます。

    https://pgpool.net/mediawiki/index.php/Downloads

-- 
Bo Peng <pengbo ＠ sraoss.co.jp>
SRA OSS LLC
https://www.sraoss.co.jp/