|
[English]
|
JVNDB-2024-000096
|
Pgpool-IIにおける情報漏えいの脆弱性
|
|
Pgpool-IIは、PostgreSQLのクラスタ管理ツールです。Pgpool-IIのクエリキャッシュ機能には、情報漏えい(CWE-213)の脆弱性があります。
この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 4.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
PgPool Global Development Group
- Pgpool-II 4.5.0から4.5.3までのバージョン(4.5系)
- Pgpool-II 4.4.0から4.4.8までのバージョン(4.4系)
- Pgpool-II 4.3.0から4.3.11までのバージョン(4.3系)
- Pgpool-II 4.2.0から4.2.18までのバージョン(4.2系)
- Pgpool-II 4.1.0から4.1.21までのバージョン(4.1系)
- Pgpool-II 4.0系のすべてのバージョン
- Pgpool-II 3.7系のすべてのバージョン
- Pgpool-II 3.6系のすべてのバージョン
- Pgpool-II 3.5系のすべてのバージョン
- Pgpool-II 3.4系のすべてのバージョン
- Pgpool-II 3.3系のすべてのバージョン
- Pgpool-II 3.2系のすべてのバージョン
|
|
|
データベースユーザがクエリキャッシュにアクセスすることにより、本来そのユーザに取得が許可されていないテーブルのデータを取得される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。- Pgpool-II 4.5.4(4.5系)
- Pgpool-II 4.4.9(4.4系)
- Pgpool-II 4.3.12(4.3系)
- Pgpool-II 4.2.19(4.2系)
- Pgpool-II 4.1.22(4.1系)
Pgpool-II 3.2系から 4.0系まではサポートが終了しているため、修正版はリリースされません。
Pgpool-II 4.0系およびそれ以前のバージョンを使用している場合は、Pgpool-II 4.1系以降の最新バージョンへのアップグレードを検討してください。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。- クエリキャッシュの利用を止める(memory_cache_enabled = off)
|
|
PgPool Global Development Group
|
|
- 情報漏えい(CWE-200) [IPA評価]
|
|
- CVE-2024-45624
|
|
- JVN : JVN#67456481
|
|
|
