[pgpool-general-jp: 1722] Pgpool-II 4.4.2, 4.3.5, 4.2.12, 4.1.15, 4.0.22 をリリースしました。

2023年 1月 23日 (月) 11:19:53 JST

Pgpool-II 4.4.2, 4.3.5, 4.2.12, 4.1.15, 4.0.22 をリリースしましたので、
お知らせいたします。

このリリースには、セキュリティ修正が含まれています。

以下の条件をすべて満たす場合、SHOW POOL_STATUSコマンドによりwd_lifecheck_userのパスワードが公開されます。
このコマンドは、Pgpool-IIに接続できるすべてのユーザーが実行できます。(CVE-2023-22332)

* バージョン3.3以降
* use_watchdogがonに設定されている
* wd_lifecheck_methodにqueryが設定されている
* wd_lifecheck_passwordに平文のパスワードが設定されている 

上記条件のすべてに該当するユーザは、これらの最新バージョンにアップグレードするか
(show pool_statusコマンドでwd_lifecheck_passwordが表示されなくなる)、
次の回避策のいずれかを使用することを強くお勧めします。

4.0.x～4.4.xユーザ向けの回避策:

* Watchdogを無効にする。(use_watchdogをoffに設定する)
* wd_lifecheck_methodにheartbeatを設定する。
* wd_lifecheck_passwordには空文字を設定し、パスワードはpool_passwdファイルに設定する。
* wd_lifecheck_passwordにAESで暗号化したパスワードを設定する。 

いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。

3.3.x～3.7.xユーザ向けの回避策:

* Watchdogを無効にする。(use_watchdogをoffに設定する)
* wd_lifecheck_methodにheartbeatを設定する。 

いずれにせよ、PostgreSQLでwd_lifecheck_passwordを変更することをお勧めします。

Pgpool-II 3.7.xおよび以前のバージョンはサポートが終了しているため、
これらのバージョンのマイナーアップデートはリリースされません。 

変更点についてはリリースノートをご覧ください。

  https://www.pgpool.net/docs/latest/ja/html/release.html

以下からダウンロードすることができます。

    https://pgpool.net/mediawiki/index.php/Downloads

-- 
Bo Peng <pengbo ＠ sraoss.co.jp>
SRA OSS LLC
https://www.sraoss.co.jp/