Heroku、全ユーザーにPostgreSQLのセキュリティーアップデートを強制適用

Herokuのユーザーは、PostgreSQLデータベースシステムの主要セキュリティーホールを修正する重要なアップデートをいち早く利用できる。一般のPostgreSQLユーザーは、木曜日(米国時間4/4)にアップデートが利用可能になる。

Herokuの声明は以下の通り:

Heroku Postgresデータベースに、月曜日(4月1日)から水曜日(4月3日)にかけて小規模だが重要なアップデートを適用する。アップデート中データベースは約60秒間オフラインになり、その後再起動される。本アップデートの性格上、正確な時間を定めることはできない。修正が必要なデータベースに対する個別の通知は送らない。

先週木曜日、PostgreSQLサイトは、4月4日にアップデートを発行し、そこには重大なセキュリティー脆弱性の修正が含まれているという声明を発表した。利用者はできるだけ早くこのアップデートを適用するよう同サイトは強く推奨している。

私はHerokuの広報チームに、なぜ強制アップデートを行うのか、および最初に適用される理由を尋ねたが、まだ回答はない。

Hacker Newsのコメント人たちは、早期アクセスの理由はでPostgreSQLデータベースを利用しているHerokuユーザーの数が膨大だからだろうと言っている。

しかしこの特権は、PostgreSQLのセキュリティー、および誰が早期に利用できるかに関する同社のポリシーに疑問を投げかけるものでもある。

Hacker Newsのあるコメント人がこう言っている。

一方でPostgreSQLは、同じようにセキュリティーを非常に深刻に捉えている数多くの会社を待たせている。これは、PosgreSQLの使用を考えている会社に「セキュリティー修正をすぐに受けられるのか,それともより重要なユーザーが早期に利用している一方で故意に危険に曝されるのか?」を考えなくてはならない状況を作り出している。私にはよい前例だとは思えない。

これはHerokuにとって異例の行動であり、クラウドのセキュリティーが重大問題であることを示す顕著な例だ。Herokuのような会社がこうした強制アップデートを発行することは稀で、その殆どはプラットフォームに対する主要なアップデートだ。しかし今回のようなセキュリティー脆弱性はプラットフォーム全体に影響を与ぼす可能性がある。

[原文へ]

(翻訳:Nob Takahashi)