02/13/2025にPostgreSQLの脆弱性(Important: CVE-2025-1094)が公開され、17.3, 16.7, 15.11, 14.16, 13.19がリリースされました。こちらはBeyondTrustの脆弱性(CVE-2024-12356)と関係するかなり重要な脆弱性になります。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
- hoge
- PostgreSQLの脆弱性(Important: CVE-2024-0985)
- PostgreSQLの脆弱性情報(Moderate: CVE-2022-2625)と新バージョン(14.5, 13.8, 12.12, 11.17, 10.22)
- PostgreSQLの脆弱性情報(Important: CVE-2022-1552)と新バージョン(14.3, 13.7, 12.11, 11.16, 10.21)
- hoge
CVSS/プライオリティ
- CVE-2025-1094
- 影響するバージョン
- postgresql < 17.3, 16.7, 15.11, 14.16, 13.19
- 一時情報源
- Priority
- Vendor: 8.1
- CVSS Score / CVSS Vector
- Vendor: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-1094
- PostgreSQL APIクオートがエンコード検証に失敗したtext内の構文の中和に失敗する脆弱性
- PostgreSQL libpq関数のPQescapeLiteral()/PQescapeIdentifier()/PQescapeString()/PQescapeStringConn()で、構文の不適切な無効化により、データベース入力プロバイダが特定の使用パターンでSQLインジェクションを実行できる可能性があります。具体的には、SQLインジェクションでは、アプリケーションが関数の結果を使用してpsqlへの入力を作る必要があります。同様にPostgreSQLコマンドラインユーティリティプログラムでの構文の不適切な無効化により、client_encodingがBIG5でserver_encodingがEUC_TW/MULE_INTERNALのいずれかである場合に、コマンドライン引数のソースがSQLインジェクションを実行できるようになります。PostgreSQL 17.3, 16.7, 15.11, 14.16, 13.19 より前のバージョンが影響を受けます。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
