[pgpool-general-jp: 1759] Pgpool-II 4.6.1, 4.5.7, 4.4.12, 4.3.15, 4.2.22 をリリースしました。

[Bo Peng]

Pgpool-II 4.6.1, 4.5.7, 4.4.12, 4.3.15, 4.2.22 をリリースしましたので、
お知らせいたします。

このリリースには、セキュリティ修正が含まれています。

Pgpool-IIのクライアント認証メカニズムには認証バイパスの脆弱性があります。
本来であれば認証が必要な場合でも、認証処理がスキップされてしまう可能性があります。
この脆弱性を悪用することで、攻撃者が任意のユーザとしてログインし、データベース内の情報を参照・改ざんしたり、
データベースを停止させたりすることができる可能性があります。(CVE-2025-46801)

なお、本脆弱性の影響を受けるのは、下記のパターン1から3いずれかの条件を満たす場合に限られます。

* パターン 1：次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。
  - pool_hba.confでpassword認証方式を使用している
 - allow_clear_text_frontend_auth = off
 - pool_passwdに対象ユーザのパスワードが設定されていない
 - pg_hba.confでscram-sha-256またはmd5認証方式を使用している 

* パターン 2：次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。
 - enable_pool_hba = off
 - pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している 

* パターン 3：次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。
 - rawモードを使用している (backend_clustering_mode = 'raw')
 - pool_hba.confでmd5認証方式を使用している
 - allow_clear_text_frontend_auth = off
 - pool_passwdに対象ユーザのパスワードがテキストまたはAES形式で登録されている
 - pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している 

この脆弱性の影響を受けるのは、Pgpool-II 4.0系および4.1系のすべてのバージョン、4.2.0-4.2.21、4.3.0-4.3.14、4.4.0-4.4.11、4.5.0-4.5.6、4.6.0です。
Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15、4.2.22以降へのアップグレードを強くお勧めします。 
それができない場合は、発生条件パターンに当てはまらない設定の組み合わせに変更してください。 

変更点についてはリリースノートをご覧ください。

  https://www.pgpool.net/docs/latest/ja/html/release.html

以下からダウンロードすることができます。

  https://pgpool.net/mediawiki/index.php/Downloads

---
Bo Peng <pengbo ＠ sraoss.co.jp>
SRA OSS K.K.
TEL: 03-5979-2701 FAX: 03-5979-2702
URL: https://www.sraoss.co.jp/