JVNDB-2023-000008

Pgpool-II における情報漏えいの脆弱性

Pgpool-II は PostgreSQL のクラスタ管理ツールです。Pgpool-II の watchdog 機能には、情報漏えい (CWE-200) の脆弱性があります。
ただし、次の条件をすべて満たすシステムに限り本脆弱性の影響を受けます。

• Watchdog 機能が有効 (use_watchdog = on)
  
• Watchdog の死活監視方式に queryモードが利用されている (wd_lifecheck_method = 'query')
  
• wd_lifecheck_password に平文のパスワードが設定されている
  

この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。

PgPool Global Development Group

• Pgpool-II 4.4.0から4.4.1までのバージョン (4.4系)
• Pgpool-II 4.3.0から4.3.4までのバージョン (4.3系)
• Pgpool-II 4.2.0から4.2.11までのバージョン (4.2系)
• Pgpool-II 4.1.0から4.1.14までのバージョン (4.1系)
• Pgpool-II 4.0.0から4.0.21までのバージョン (4.0系)
• Pgpool-II 3.7系のすべてのバージョン
• Pgpool-II 3.6系のすべてのバージョン
• Pgpool-II 3.5系のすべてのバージョン
• Pgpool-II 3.4系のすべてのバージョン
• Pgpool-II 3.3系のすべてのバージョン

特定のデータベースユーザの認証情報が他のデータベースユーザに取得される可能性があります。
結果として、取得した認証情報でログインした攻撃者によって、データベース内の情報を改ざんされたり、データベースを停止されたりする可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。

• Pgpool-II 4.4.2 (4.4系)
  
• Pgpool-II 4.3.5 (4.3系)
  
• Pgpool-II 4.2.12 (4.2系)
  
• Pgpool-II 4.1.15 (4.1系)
  
• Pgpool-II 4.0.22 (4.0系)
  

Pgpool-II 3.3系から 3.7系まではサポートが終了しているため、修正版はリリースされません。
Pgpool-II 3.7系およびそれ以前のバージョンを使用している場合は、Pgpool-II 4.0系以降の最新バージョンへのアップグレードを検討してください。

[ワークアラウンドを実施する]
次のいずれかを実施することで、本脆弱性の影響を回避することが可能です。
Pgpool-II 3.3系から 3.7系まで

• Watchdog の利用を止める (use_watchdog = off)
  
• wd_lifecheck_method = 'heartbeat' と設定する
  

Pgpool-II 4.0系から4.4系まで

• Watchdog の利用を止める(use_watchdog = off)
  
• wd_lifecheck_method = 'heartbeat' と設定する
  
• wd_lifecheck_password に平文のパスワードを設定せず、AES で暗号化したパスワードを設定する
  
• wd_lifecheck_password には空文字を設定し、パスワードは pool_passwd ファイルに設定する
  

PgPool Global Development Group

• PgPool Global Development Group : PgPool Global Development Group の告知ページ

1. 情報漏えい(CWE-200) [IPA評価]

1. CVE-2023-22332

1. JVN : JVN#72418815
2. National Vulnerability Database (NVD) : CVE-2023-22332

• [2023年01月23日]
    掲載
• [2024年06月20日]
    参考情報：National Vulnerability Database (NVD) (CVE-2023-22332) を追加