Pgpool-II Hit by Critical CVE-2025-46801: CVSS 9.8 Risk Lets Attackers Bypass Authentication
2025/05/16 SecurityOnline — PgPool Global Development Group が発行したのは、PostgreSQL サーバとデータベース・クライアントの間で使用されるミドルウェア Pgpool-II に存在する、深刻度の高い脆弱性に対するセキュリティ・アドバイザリの発行である。この脆弱性 CVE-2025-46801 は、特定のミスコンフィグにより認証バイパスを許すものであり、CVSS スコアは 9.8 となっている。
Pgpool-II は、Postgre SQL のクライアント/サーバー間の通信を中継する、ミドルウェア層として機能するものだ。そこでサポートされるものには、コネクション・プーリング/レプリケーション/負荷分散/高可用性などがある。
この脆弱性は、認証ロジックにおける根本的な弱点に起因しており、特定の設定下では、適切な認証情報を持たない攻撃者に対して、任意のユーザーとしてログインを許してしまうという。
JPCERT/CC は、「攻撃者は任意のユーザーとしてシステムにログインし、データベース内のデータの読取/改竄に加えて、データベースの無効化を達成する可能性がある」と警告している。
この脆弱性は、以下の3種類のコンフィグ・パターンの、いずれかに該当するシステムに影響を及ぼす:
- 認証における “pool_hba.conf”/”pg_hba.conf” ファイルの使用
- 平文パスワード設定の不適切な処理
- 古いパスワードまたは平文パスワードなどの保存方法の使用
- raw バックエンド・クラスタリング・モードでの動作
この脆弱性が影響を及ぼす範囲は、複数の Pgpool-II ブランチにまたがる幅広いバージョンとなる:
- 4.6.0
- 4.5.0~4.5.6
- 4.4.0~4.4.11
- 4.3.0~4.3.14
- 4.2.0~4.2.21
なお、すべての 4.0/4.1 シリーズも該当するが、サポート終了のためパッチは発行されない。
管理者に強く推奨されるのは、以下のパッチ適用済みバージョンへの速やかなアップグレードにより、この問題を軽減することだ:
- 4.6.1
- 4.5.7
- 4.4.12
- 4.3.15
- 4.2.22
なお、4.0/4.1 を利用するユーザーの場合には、パッチがリリースされないため、サポート対象バージョンへの移行が唯一の選択肢となる。
Pgpool-II に存在する、ミスコンフィグに起因する脆弱性が FIX とのことです。4.0/4.1 シリーズに関しては、サポート終了のためパッチは発行されないとのことです。ご利用のチームは、十分にご注意ください。よろしければ、PostgreSQL で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.