From da261b1c419825242cf55b8187bffc328b819885 Mon Sep 17 00:00:00 2001 From: Bo Peng Date: Tue, 13 May 2025 18:29:54 +0900 Subject: [PATCH] Doc: update release note. --- doc.ja/src/sgml/release-4.2.sgml | 108 ++++++++++++++++++++++++++- doc.ja/src/sgml/release-4.3.sgml | 108 ++++++++++++++++++++++++++- doc.ja/src/sgml/release-4.4.sgml | 108 ++++++++++++++++++++++++++- doc.ja/src/sgml/release-4.5.sgml | 108 ++++++++++++++++++++++++++- doc/src/sgml/release-4.2.sgml | 122 ++++++++++++++++++++++++++++++- doc/src/sgml/release-4.3.sgml | 122 ++++++++++++++++++++++++++++++- doc/src/sgml/release-4.4.sgml | 122 ++++++++++++++++++++++++++++++- doc/src/sgml/release-4.5.sgml | 122 ++++++++++++++++++++++++++++++- 8 files changed, 888 insertions(+), 32 deletions(-) diff --git a/doc.ja/src/sgml/release-4.2.sgml b/doc.ja/src/sgml/release-4.2.sgml index 077c2fc49..be9fb7410 100644 --- a/doc.ja/src/sgml/release-4.2.sgml +++ b/doc.ja/src/sgml/release-4.2.sgml @@ -3,10 +3,110 @@ リリース 4.2.22 - - リリース日 - 2025-05-15 - + + リリース日 + 2025-05-15 + + + + 概要 + + このリリースには、セキュリティ修正が含まれています。 + + + Pgpool-IIのクライアント認証メカニズムには認証バイパスの脆弱性があります。 + 本来であれば認証が必要な場合でも、認証処理がスキップされてしまう可能性があります。 + この脆弱性を悪用することで、攻撃者が任意のユーザとしてログインし、データベース内の情報を参照・改ざんしたり、データベースを停止させたりすることができる可能性があります。(CVE-2025-46801) + + + なお、本脆弱性の影響を受けるのは、下記のパターン1から3いずれかの条件を満たす場合に限られます。 + + + + + パターン 1:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + pool_hba.confでpassword認証方式を使用している + + + + + allow_clear_text_frontend_auth = off + + + + + pool_passwdに対象ユーザのパスワードが設定されていない + + + + + pg_hba.confでscram-sha-256またはmd5認証方式を使用している + + + + + + + + パターン 2:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + enable_pool_hba = off + + + + + pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している + + + + + + + + パターン 3:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + rawモードを使用している (backend_clustering_mode = 'raw') + + + + + pool_hba.confでmd5認証方式を使用している + + + + + allow_clear_text_frontend_auth = off + + + + + pool_passwdに対象ユーザのパスワードがテキストまたはAES形式で登録されている + + + + + pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している + + + + + + + この脆弱性の影響を受けるのは、Pgpool-II 4.0系および4.1系のすべてのバージョン、4.2.0-4.2.21、4.3.0-4.3.14、4.4.0-4.4.11、4.5.0-4.5.6、4.6.0です。 + Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15、4.2.22以降へのアップグレードを強くお勧めします。 + それができない場合は、発生条件パターンに当てはまらない設定の組み合わせに変更してください。 + + 変更点 diff --git a/doc.ja/src/sgml/release-4.3.sgml b/doc.ja/src/sgml/release-4.3.sgml index 833cc3a2a..4f24aed34 100644 --- a/doc.ja/src/sgml/release-4.3.sgml +++ b/doc.ja/src/sgml/release-4.3.sgml @@ -3,10 +3,110 @@ リリース 4.3.15 - - リリース日 - 2025-05-15 - + + リリース日 + 2025-05-15 + + + + 概要 + + このリリースには、セキュリティ修正が含まれています。 + + + Pgpool-IIのクライアント認証メカニズムには認証バイパスの脆弱性があります。 + 本来であれば認証が必要な場合でも、認証処理がスキップされてしまう可能性があります。 + この脆弱性を悪用することで、攻撃者が任意のユーザとしてログインし、データベース内の情報を参照・改ざんしたり、データベースを停止させたりすることができる可能性があります。(CVE-2025-46801) + + + なお、本脆弱性の影響を受けるのは、下記のパターン1から3いずれかの条件を満たす場合に限られます。 + + + + + パターン 1:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + pool_hba.confでpassword認証方式を使用している + + + + + allow_clear_text_frontend_auth = off + + + + + pool_passwdに対象ユーザのパスワードが設定されていない + + + + + pg_hba.confでscram-sha-256またはmd5認証方式を使用している + + + + + + + + パターン 2:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + enable_pool_hba = off + + + + + pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している + + + + + + + + パターン 3:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + rawモードを使用している (backend_clustering_mode = 'raw') + + + + + pool_hba.confでmd5認証方式を使用している + + + + + allow_clear_text_frontend_auth = off + + + + + pool_passwdに対象ユーザのパスワードがテキストまたはAES形式で登録されている + + + + + pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している + + + + + + + この脆弱性の影響を受けるのは、Pgpool-II 4.0系および4.1系のすべてのバージョン、4.2.0-4.2.21、4.3.0-4.3.14、4.4.0-4.4.11、4.5.0-4.5.6、4.6.0です。 + Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15、4.2.22以降へのアップグレードを強くお勧めします。 + それができない場合は、発生条件パターンに当てはまらない設定の組み合わせに変更してください。 + + 変更点 diff --git a/doc.ja/src/sgml/release-4.4.sgml b/doc.ja/src/sgml/release-4.4.sgml index ff99cef7e..74400db2b 100644 --- a/doc.ja/src/sgml/release-4.4.sgml +++ b/doc.ja/src/sgml/release-4.4.sgml @@ -3,10 +3,110 @@ リリース 4.4.12 - - リリース日 - 2025-05-15 - + + リリース日 + 2025-05-15 + + + + 概要 + + このリリースには、セキュリティ修正が含まれています。 + + + Pgpool-IIのクライアント認証メカニズムには認証バイパスの脆弱性があります。 + 本来であれば認証が必要な場合でも、認証処理がスキップされてしまう可能性があります。 + この脆弱性を悪用することで、攻撃者が任意のユーザとしてログインし、データベース内の情報を参照・改ざんしたり、データベースを停止させたりすることができる可能性があります。(CVE-2025-46801) + + + なお、本脆弱性の影響を受けるのは、下記のパターン1から3いずれかの条件を満たす場合に限られます。 + + + + + パターン 1:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + pool_hba.confでpassword認証方式を使用している + + + + + allow_clear_text_frontend_auth = off + + + + + pool_passwdに対象ユーザのパスワードが設定されていない + + + + + pg_hba.confでscram-sha-256またはmd5認証方式を使用している + + + + + + + + パターン 2:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + enable_pool_hba = off + + + + + pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している + + + + + + + + パターン 3:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + rawモードを使用している (backend_clustering_mode = 'raw') + + + + + pool_hba.confでmd5認証方式を使用している + + + + + allow_clear_text_frontend_auth = off + + + + + pool_passwdに対象ユーザのパスワードがテキストまたはAES形式で登録されている + + + + + pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している + + + + + + + この脆弱性の影響を受けるのは、Pgpool-II 4.0系および4.1系のすべてのバージョン、4.2.0-4.2.21、4.3.0-4.3.14、4.4.0-4.4.11、4.5.0-4.5.6、4.6.0です。 + Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15、4.2.22以降へのアップグレードを強くお勧めします。 + それができない場合は、発生条件パターンに当てはまらない設定の組み合わせに変更してください。 + + 変更点 diff --git a/doc.ja/src/sgml/release-4.5.sgml b/doc.ja/src/sgml/release-4.5.sgml index 99c1b1ce8..e6f4a7c02 100644 --- a/doc.ja/src/sgml/release-4.5.sgml +++ b/doc.ja/src/sgml/release-4.5.sgml @@ -3,10 +3,110 @@ リリース 4.5.7 - - リリース日 - 2025-05-15 - + + リリース日 + 2025-05-15 + + + + 概要 + + このリリースには、セキュリティ修正が含まれています。 + + + Pgpool-IIのクライアント認証メカニズムには認証バイパスの脆弱性があります。 + 本来であれば認証が必要な場合でも、認証処理がスキップされてしまう可能性があります。 + この脆弱性を悪用することで、攻撃者が任意のユーザとしてログインし、データベース内の情報を参照・改ざんしたり、データベースを停止させたりすることができる可能性があります。(CVE-2025-46801) + + + なお、本脆弱性の影響を受けるのは、下記のパターン1から3いずれかの条件を満たす場合に限られます。 + + + + + パターン 1:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + pool_hba.confでpassword認証方式を使用している + + + + + allow_clear_text_frontend_auth = off + + + + + pool_passwdに対象ユーザのパスワードが設定されていない + + + + + pg_hba.confでscram-sha-256またはmd5認証方式を使用している + + + + + + + + パターン 2:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + enable_pool_hba = off + + + + + pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している + + + + + + + + パターン 3:次の条件をすべて満たす場合、本脆弱性の影響を受ける可能性があります。 + + + + + rawモードを使用している (backend_clustering_mode = 'raw') + + + + + pool_hba.confでmd5認証方式を使用している + + + + + allow_clear_text_frontend_auth = off + + + + + pool_passwdに対象ユーザのパスワードがテキストまたはAES形式で登録されている + + + + + pg_hba.confでpassword、pam、ldapのいずれかの認証方式を使用している + + + + + + + この脆弱性の影響を受けるのは、Pgpool-II 4.0系および4.1系のすべてのバージョン、4.2.0-4.2.21、4.3.0-4.3.14、4.4.0-4.4.11、4.5.0-4.5.6、4.6.0です。 + Pgpool-II 4.6.1、4.5.7、4.4.12、4.3.15、4.2.22以降へのアップグレードを強くお勧めします。 + それができない場合は、発生条件パターンに当てはまらない設定の組み合わせに変更してください。 + + 変更点 diff --git a/doc/src/sgml/release-4.2.sgml b/doc/src/sgml/release-4.2.sgml index fff60d328..e88e2d90d 100644 --- a/doc/src/sgml/release-4.2.sgml +++ b/doc/src/sgml/release-4.2.sgml @@ -3,10 +3,124 @@ Release 4.2.22 - - Release Date - 2025-05-15 - + + Release Date + 2025-05-15 + + + + Overview + + This release contains a security fix. + + + An authentication bypass vulnerability exists in the client authentication + mechanism of Pgpool-II. + In Pgpool-II, authentication may be bypassed even + when it is supposed to be enforced. As a result, an attacker could log in as + any user, potentially leading to information disclosure, data tampering, or + even a complete shutdown of the database. (CVE-2025-46801) + + + This vulnerability affects systems where the authentication configuration + matches one of the following patterns: + + + + + Pattern 1: This vulnerability occurs when all of the following conditions are met: + + + + + The password authentication method is used in + pool_hba.conf + + + + + allow_clear_text_frontend_auth = off + + + + + The user's password is not set in pool_passwd + + + + + The scram-sha-256 or md5 authentication + method is used in pg_hba.conf + + + + + + + + Pattern 2: This vulnerability occurs when all of the following conditions are met: + + + + + enable_pool_hba = off + + + + + One of the following authentication methods is used in pg_hba.conf: + password, pam, or ldap + + + + + + + + Pattern 3: This vulnerability occurs when all of the following conditions are met: + + + + + Raw mode is used (backend_clustering_mode = 'raw') + + + + + The md5 authentication method is used in + pool_hba.conf + + + + + allow_clear_text_frontend_auth = off + + + + + The user's password is registered in pool_passwd in plain + text or AES format + + + + + One of the following authentication methods is used in + pg_hba.conf: + password, pam, or ldap + + + + + + + All versions of Pgpool-II 4.0 and 4.1 series, 4.2.0 to 4.2.21, 4.3.0 to 4.3.14, + 4.4.0 to 4.4.11, 4.5.0 to 4.5.6 and 4.6.0 are affected by this vulnerability. + It is strongly recommended to upgrade to Pgpool-II + 4.6.1, 4.5.7, 4.4.12, 4.3.15 and 4.2.22 or later. + Alternatively, you can modify your settings so that they do not match any of + the vulnerable configuration patterns. + + Changes diff --git a/doc/src/sgml/release-4.3.sgml b/doc/src/sgml/release-4.3.sgml index 07d52d3f2..a4aed099d 100644 --- a/doc/src/sgml/release-4.3.sgml +++ b/doc/src/sgml/release-4.3.sgml @@ -3,10 +3,124 @@ Release 4.3.15 - - Release Date - 2025-05-15 - + + Release Date + 2025-05-15 + + + + Overview + + This release contains a security fix. + + + An authentication bypass vulnerability exists in the client authentication + mechanism of Pgpool-II. + In Pgpool-II, authentication may be bypassed even + when it is supposed to be enforced. As a result, an attacker could log in as + any user, potentially leading to information disclosure, data tampering, or + even a complete shutdown of the database. (CVE-2025-46801) + + + This vulnerability affects systems where the authentication configuration + matches one of the following patterns: + + + + + Pattern 1: This vulnerability occurs when all of the following conditions are met: + + + + + The password authentication method is used in + pool_hba.conf + + + + + allow_clear_text_frontend_auth = off + + + + + The user's password is not set in pool_passwd + + + + + The scram-sha-256 or md5 authentication + method is used in pg_hba.conf + + + + + + + + Pattern 2: This vulnerability occurs when all of the following conditions are met: + + + + + enable_pool_hba = off + + + + + One of the following authentication methods is used in pg_hba.conf: + password, pam, or ldap + + + + + + + + Pattern 3: This vulnerability occurs when all of the following conditions are met: + + + + + Raw mode is used (backend_clustering_mode = 'raw') + + + + + The md5 authentication method is used in + pool_hba.conf + + + + + allow_clear_text_frontend_auth = off + + + + + The user's password is registered in pool_passwd in plain + text or AES format + + + + + One of the following authentication methods is used in + pg_hba.conf: + password, pam, or ldap + + + + + + + All versions of Pgpool-II 4.0 and 4.1 series, 4.2.0 to 4.2.21, 4.3.0 to 4.3.14, + 4.4.0 to 4.4.11, 4.5.0 to 4.5.6 and 4.6.0 are affected by this vulnerability. + It is strongly recommended to upgrade to Pgpool-II + 4.6.1, 4.5.7, 4.4.12, 4.3.15 and 4.2.22 or later. + Alternatively, you can modify your settings so that they do not match any of + the vulnerable configuration patterns. + + Changes diff --git a/doc/src/sgml/release-4.4.sgml b/doc/src/sgml/release-4.4.sgml index 7f86eb775..1d002971d 100644 --- a/doc/src/sgml/release-4.4.sgml +++ b/doc/src/sgml/release-4.4.sgml @@ -3,10 +3,124 @@ Release 4.4.12 - - Release Date - 2025-05-15 - + + Release Date + 2025-05-15 + + + + Overview + + This release contains a security fix. + + + An authentication bypass vulnerability exists in the client authentication + mechanism of Pgpool-II. + In Pgpool-II, authentication may be bypassed even + when it is supposed to be enforced. As a result, an attacker could log in as + any user, potentially leading to information disclosure, data tampering, or + even a complete shutdown of the database. (CVE-2025-46801) + + + This vulnerability affects systems where the authentication configuration + matches one of the following patterns: + + + + + Pattern 1: This vulnerability occurs when all of the following conditions are met: + + + + + The password authentication method is used in + pool_hba.conf + + + + + allow_clear_text_frontend_auth = off + + + + + The user's password is not set in pool_passwd + + + + + The scram-sha-256 or md5 authentication + method is used in pg_hba.conf + + + + + + + + Pattern 2: This vulnerability occurs when all of the following conditions are met: + + + + + enable_pool_hba = off + + + + + One of the following authentication methods is used in pg_hba.conf: + password, pam, or ldap + + + + + + + + Pattern 3: This vulnerability occurs when all of the following conditions are met: + + + + + Raw mode is used (backend_clustering_mode = 'raw') + + + + + The md5 authentication method is used in + pool_hba.conf + + + + + allow_clear_text_frontend_auth = off + + + + + The user's password is registered in pool_passwd in plain + text or AES format + + + + + One of the following authentication methods is used in + pg_hba.conf: + password, pam, or ldap + + + + + + + All versions of Pgpool-II 4.0 and 4.1 series, 4.2.0 to 4.2.21, 4.3.0 to 4.3.14, + 4.4.0 to 4.4.11, 4.5.0 to 4.5.6 and 4.6.0 are affected by this vulnerability. + It is strongly recommended to upgrade to Pgpool-II + 4.6.1, 4.5.7, 4.4.12, 4.3.15 and 4.2.22 or later. + Alternatively, you can modify your settings so that they do not match any of + the vulnerable configuration patterns. + + Changes diff --git a/doc/src/sgml/release-4.5.sgml b/doc/src/sgml/release-4.5.sgml index 1b24ac4fd..1b3962104 100644 --- a/doc/src/sgml/release-4.5.sgml +++ b/doc/src/sgml/release-4.5.sgml @@ -1,9 +1,123 @@ Release 4.5.7 - - Release Date - 2025-05-15 - + + Release Date + 2025-05-15 + + + + Overview + + This release contains a security fix. + + + An authentication bypass vulnerability exists in the client authentication + mechanism of Pgpool-II. + In Pgpool-II, authentication may be bypassed even + when it is supposed to be enforced. As a result, an attacker could log in as + any user, potentially leading to information disclosure, data tampering, or + even a complete shutdown of the database. (CVE-2025-46801) + + + This vulnerability affects systems where the authentication configuration + matches one of the following patterns: + + + + + Pattern 1: This vulnerability occurs when all of the following conditions are met: + + + + + The password authentication method is used in + pool_hba.conf + + + + + allow_clear_text_frontend_auth = off + + + + + The user's password is not set in pool_passwd + + + + + The scram-sha-256 or md5 authentication + method is used in pg_hba.conf + + + + + + + + Pattern 2: This vulnerability occurs when all of the following conditions are met: + + + + + enable_pool_hba = off + + + + + One of the following authentication methods is used in pg_hba.conf: + password, pam, or ldap + + + + + + + + Pattern 3: This vulnerability occurs when all of the following conditions are met: + + + + + Raw mode is used (backend_clustering_mode = 'raw') + + + + + The md5 authentication method is used in + pool_hba.conf + + + + + allow_clear_text_frontend_auth = off + + + + + The user's password is registered in pool_passwd in plain + text or AES format + + + + + One of the following authentication methods is used in + pg_hba.conf: + password, pam, or ldap + + + + + + + All versions of Pgpool-II 4.0 and 4.1 series, 4.2.0 to 4.2.21, 4.3.0 to 4.3.14, + 4.4.0 to 4.4.11, 4.5.0 to 4.5.6 and 4.6.0 are affected by this vulnerability. + It is strongly recommended to upgrade to Pgpool-II + 4.6.1, 4.5.7, 4.4.12, 4.3.15 and 4.2.22 or later. + Alternatively, you can modify your settings so that they do not match any of + the vulnerable configuration patterns. + + Changes -- 2.39.5