<!-- doc/src/sgml/release-4.3.sgml -->
<!-- See header comment in release.sgml about typical markup -->
-<sect1 id="release-4-3RC1">
- <title>Release 4.3RC1</title>
- <note>
- <title>Release Date</title>
- <simpara>2021-11-25</simpara>
- </note>
- <sect2>
- <title>Beta2からの変更点</title>
- <para>
- 4.3Beta2から4.3RC1にかけて、いくつかのドキュメントの改善が行われました。
- 4.3の詳細については、<xref linkend = "release-4-3-0">を参照してください。
- </para>
- </sect2>
-</sect1>
-
-<sect1 id="release-4-3beta2">
- <title>Release 4.3beta2</title>
- <note>
- <title>Release Date</title>
- <simpara>2021-11-18</simpara>
- </note>
-
- <sect2>
- <title>Changes from beta1</title>
- <para>
- このリリースでは、<productname>Pgpool-II</productname> 4.2.6と同じバグ修正がすでに適用されています。
- これらの修正の詳細については、<xref linkend="release-4-2-6">を参照してください。
- 特に、以下の脆弱性の修正も行っています。
- </para>
-
- <itemizedlist>
- <listitem>
- <!--
- 2021-11-17 [4d2e4f4e]
- -->
- <para>
- SSL暗号化ハンドシェイク後の余計なデータを拒否するようにしました。(Tatsuo Ishii)
- </para>
- <para>
- サーバサイドのSSLネゴシエーションの実装において、任意のSQLコマンドを実行できる中間者攻撃が可能でした。
- これはPgpool-IIがクライアント認証で証明書認証を使用しているか、hotssl + trust認証の場合に可能でした。
- PostgreSQLのCVE-2021-23214と似た脆弱性です。
- </para>
- <para>
- 同様に、クライアントサイドのSSLネゴシエーション実装において、任意の結果に改ざんする中間者攻撃が可能でした。
- これはPostgreSQLがクライアント認証でhostssl + trust認証を使用しているときに可能でした。
- 証明書認証の場合には、Pgpool-IIはPgpool-IIとPostgreSQL間で証明書認証を実装していないため問題ありません。
- PostgreSQLのCVE-2021-23222と似た脆弱性です。
- </para>
- </listitem>
- </itemizedlist>
-
- </sect2>
-</sect1>
<sect1 id="release-4-3-0">
<!--
<title>Release Date</title>
-->
<title>リリース日</title>
- <simpara>2021-12-xx</simpara>
+ <simpara>2021-12-07</simpara>
</note>
<sect2>
<!-- doc/src/sgml/release-4.3.sgml -->
<!-- See header comment in release.sgml about typical markup -->
-<sect1 id="release-4-3RC1">
- <title>Release 4.3RC1</title>
- <note>
- <title>Release Date</title>
- <simpara>2021-11-25</simpara>
- </note>
- <sect2>
- <title>Changes since beta2</title>
- <para>
- Several documentation improvements were applied for Pgpool-II 4.3RC1 since the Beta2.
- For further information about 4.3 please see <xref linkend="release-4-3-0">.
- </para>
- </sect2>
-</sect1>
-
-<sect1 id="release-4-3beta2">
- <title>Release 4.3beta2</title>
- <note>
- <title>Release Date</title>
- <simpara>2021-11-18</simpara>
- </note>
-
- <sect2>
- <title>Changes from beta1</title>
- <para>
- In this release same bug fixes as <productname>Pgpool-II</productname> 4.2.6
- are already applied. See <xref linkend="release-4-2-6"> for more details of those fixes.
- Note that following vulnability fix is also applied.
- </para>
-
- <itemizedlist>
- <listitem>
- <!--
- 2021-11-17 [4d2e4f4e]
- -->
- <para>
- Reject extraneous data after SSL encryption handshake. (Tatsuo Ishii)
- </para>
- <para>
- In the server side implementation of SSL negotiation, it was possible for a
- man-in-the-middle attacker to inject arbitrary SQL commands. This is
- possible if Pgpool-II is configured to use cert authentication or
- hostssl + trust. This resembles PostgreSQL's CVE-2021-23214.
- </para>
- <para>
- Similarly, in the client side implementation of SSL negotiation, it was
- possible for a man-in-the-middle attacker to inject arbitrary responses.
- This is possible if PostgreSQL is using trust authentication with a
- clientcert requirement. It is not possible with cert authentication because
- Pgpool-II does not implement the cert authentication between Pgpool-II
- and PostgreSQL. This resembles PostgreSQL's CVE-2021-23222.
- </para>
- </listitem>
- </itemizedlist>
-
- </sect2>
-</sect1>
-
<sect1 id="release-4-3-0">
<title>Release 4.3.0</title>
<note>
<title>Release Date</title>
- <simpara>2021-12-xx</simpara>
+ <simpara>2021-12-07</simpara>
</note>
<sect2>
projects / pgpool2.git / commitdiff