【ITニュース解説】「PostgreSQL」にセキュリティアップデート - 「13系」は11月にEOL
ITニュース概要
データベース「PostgreSQL」で、セキュリティ上の弱点を修正するアップデートが公開された。安全のため、利用者は更新が推奨される。また、バージョン13系は2024年11月でサポートが終了するため注意が必要だ。
ITニュース解説
多くのWebサービスや業務システムで利用されている、リレーショナルデータベース管理システム「PostgreSQL」において、複数のセキュリティ上の弱点を修正するための重要なアップデートが公開された。このアップデートは、PostgreSQLを利用してシステムを構築、運用しているすべての開発者や管理者にとって、迅速な対応が求められる内容となっている。 ソフトウェアにおける「脆弱性」とは、プログラムの設計ミスや不具合によって生じるセキュリティ上の欠陥のことを指す。これを放置すると、悪意のある第三者によってシステムに不正に侵入されたり、保存されている重要なデータが盗まれたり、改ざんされたりする危険性がある。今回発表されたアップデートは、このような危険性を未然に防ぐためのものである。 修正された脆弱性は主に3件報告されており、そのうち2件は深刻度が「高」と評価されている。一つ目の脆弱性(CVE-2024-4316)は、「マテリアライズドビュー」と呼ばれる機能に関するものである。マテリアライズドビューとは、頻繁に参照される複雑な問い合わせの結果を、あらかじめ物理的なテーブルとして保存しておくことで、データアクセスの高速化を図る仕組みである。このマテリアライズドビューのデータを最新の状態に更新する特定のコマンドの処理に不備があった。この不備を悪用されると、本来は権限を持っていないデータベース利用者が、データベースサーバー上で任意のプログラムを実行できてしまう可能性があった。これは、サーバーを乗っ取られることに繋がりかねない、非常に危険な脆弱性である。 二つ目の深刻な脆弱性(CVE-2024-4317)は、PostgreSQLの拡張機能の一つである「pg_stats_ext」に関連するものであった。この機能は、データベースの性能を最適化するために、より詳細な統計情報を管理する役割を担う。この機能の特定の処理に問題があり、データベース内で索引(インデックス)を作成する権限を持つユーザーが、システムの最高管理者であるスーパーユーザーの権限を不正に奪い取り、任意のプログラムを実行できてしまう可能性があった。これもまた、システムの完全な制御を奪われるリスクをはらむ、極めて深刻な問題である。 三つ目の脆弱性(CVE-2024-4318)は、ラージオブジェクトと呼ばれる画像や音声などの大きなデータを扱うための関数に関連するもので、深刻度は「中」とされている。特定の条件下で、これもスーパーユーザーの権限で任意のコードが実行される可能性があった。深刻度が「中」であっても、システムのセキュリティを脅かすことには変わりなく、対応が必要な問題である。 これらの脆弱性を解消するため、PostgreSQLの開発チームはバージョン16.3、15.7、14.12、13.15、12.19をリリースした。現在これらのバージョンより古いPostgreSQLを利用している場合は、速やかに対応するバージョンへアップデートすることが強く推奨される。 また、今回のニュースではもう一つ重要な情報が伝えられている。それは、「PostgreSQL 13系」のサポートが2024年11月14日をもって終了する、いわゆる「EOL(End of Life)」を迎えるという点である。EOLとは、製品のライフサイクルが終了することを意味し、これ以降、開発元による公式なサポートは提供されなくなる。具体的には、今回のようなセキュリティ上の脆弱性が新たに見つかったとしても、それを修正するためのアップデートは提供されなくなる。つまり、EOLを迎えたバージョンを使い続けることは、既知または未知のセキュリティリスクに無防備な状態でシステムを晒し続けることになり、非常に危険である。そのため、「PostgreSQL 13系」を利用しているシステムの管理者は、サポートが終了する11月14日までに、より新しいバージョンである14系以降へシステムをアップグレードするための計画を立て、実行する必要がある。 システムエンジニアを目指す上で、自分が利用するソフトウェアのセキュリティ情報やサポート期間を常に把握し、適切に対応することは極めて重要な責務である。今回のようなアップデート情報を入手した際には、まず自身が関わるシステムで該当するソフトウェアが使用されていないかを確認し、もし該当する場合には、十分なテストを行った上で計画的にアップデートを適用する必要がある。システムの安定稼働と安全性を維持するためには、このような地道な保守・運用作業が不可欠なのである。