この連載はOSSコンソーシアム データベース部会のメンバーがオープンソースデータベースの毎月の出来事をお伝えしています。

［MySQL］2025年3月の主な出来事

MySQLの歴史は1995年5月23日にバージョン1.0が内々でリリースされ、MySQL社の創業者のうちのDavidとAllanの2名がテストしていたところから始まっています。2025年は30周年の年となり、世界各地で記念イベントが開催されています。

日本のMySQLユーザー・グループである日本MySQLユーザ会（MyNA）は、1998年1月25日からメーリングリストでの情報交換が始まり、ユーザ会としては2000年3月28日に設立されました。2025年は25周年にあたります。

日本MySQLユーザ会 25周年 & MySQL 30周年イベント

3月25日にこの2つの節目の年を記念するイベントが開催されました。

昼と夜の二部構成で、14時から20時前まで開催されたイベントでした。昼の部はMySQLユーザ会の代表のとみたまさひろさんの講演で始まり、ユーザ会ゆかりの方々の講演やMySQL コミュニティチームや海外のMySQLサポートエンジニアからのビデオメッセージもありました。今回のイベントで特徴的だったのは、オープンソースやデータベース、MySQLやコミュニティなどを長年にわたってウォッチされてきたメディア関係の方々の講演やビデオメッセージが用意されていた点です。

この連載が掲載されているgihyo.jpの立ち上げもされた株式会社技術評論社のデジタル事業部部長である馮富久さんも登壇され、紙の雑誌とオンラインメディアとの関係性、雑誌『Software Design』でのMySQLに関する記事、馮さんが参加されたMySQL関連イベントなど、メディアの観点からMySQLやコミュニティの歴史を語っていただきました。2008年のMySQLカンファレンスのイベントのノベルティや懐かしの雑誌などもお見せいただきました。個人的には馮さんがSoftware Designでどんな特集やっていたかをmixi日記に記録されていたという話も印象的でした。ちなみに馮さんが確認できた範囲では、Software Designでの最初のMySQLの記事は馮さんの入社前の1999年1月号、MySQL単体での特集は2002年3月号だったそうです。

第二部は日本MySQLユーザ会らしいゆるっとした雰囲気となり、Oracle ACEのyoku0825さんから次世代のコミュニティメンバーに向けた期待が語られたほか、飛び入りでのライトニングトークなども行われました。

［PostgreSQL］2025年3月の主な出来事

3月はPostgreSQL本体のリリースはありませんでした。2月に2回リリースがあって修正対応されたセキュリティ脆弱性やその他の変更点の情報について、続報や詳細情報などがありましたのでお知らせします。また、セキュリティ脆弱性などの問題点対応の基本は、最新版へのアップデートでしょう。そこで、クラウドのマネージドサービス固有の情報ではありますが、PostgreSQLのアップデート手段に関する情報もお伝えします。

PostgreSQL 17.4と17.3のリリースについての詳細情報

SRA OSSから、2月20日リリースのPostgreSQL 17.4の技術情報と、その1週間前の17.3の技術情報が日本語で公開されました。

17.3のリリースではCVE-2025-1094への対応で重大な見落としがあり、17.4にて修正されたようです。17.4では、libpqのクォート付加を行うAPI関数について追加の修正が行われました。文字列の長さを指定するパラメータ処理に問題があり、不要なテキストが出力に含まれる可能性や、不正なメモリアクセスによりクラッシュを引き起こす可能性があったようです。また、無効なエンコーディングが検出された際の処理も変更されているとのこと。これらはバージョン17だけではなく、バージョン13から17までの全てのサポート中のバージョンが対象です。

詳しくはSRA OSSの技術情報を参照してください。また、1つ前の17.3などのリリースでは、上記の脆弱性修正以外の多数の変更を含んでおり、これらについても丁寧に解説されています。

SQLインジェクションによってアメリカ財務省への侵入に使用

2024年の年末にアメリカ財務省で発生した侵入の事案は、前述のCVE-2025-1094の脆弱性を悪用したSQLインジェクションによって発生していたことが報告されました。

簡単にまとめると、シングルクオートなどサニタイズ処理が必要な文字のエスケープ処理の問題になりますが、unicodeの複数バイト文字の場合のエスケープ処理に問題があったということのようです。なお、この脆弱性がサポート中の全バージョンが対象になっていることからわかるように、かなり以前から（報告によれば9年前から）発見されずに存在していたことも見落とせない点です。

また、別の記事によれば、アメリカ財務省で発生した件では、PostgreSQLのこの脆弱性以外にも問題があったとのことですが、PostgreSQLの脆弱性が悪用されたことは事実でしょう。

PostgreSQLのメジャーバージョンアップの方法⁠：AWS版

Amazon Web Services（AWS）から「Amazon RDS for PostgreSQLのローリングメジャーバージョンアップグレードにpgactiveを使用する」というブログが公開されていました。

セキュリティ脆弱性を含めて発見された問題点に対応するだけなら、マイナーアップデートを適用すれば解消されることも多いのですが、メジャーバージョンがサポート切れになる場合は、新しいメジャーバージョンに移る必要があります。直近では、この連載の第112回でお知らせしたように、バージョン12が2024年11月にサポート終了になっています。

紹介した上記のブログは、pgactiveというAmazon RDS for PostgreSQL用の拡張機能を使ったメジャーバージョンアップを中心に解説した記事ですが、他の方法としてAmazon RDS ProxyやPgBouncerのようなデータベースプロキシを使用する方法などについても簡単に触れられています。

この記事で取り上げているpgactiveは、Amazon RDSでのアクティブ～アクティブレプリケーションを実現する拡張機能で、バージョンアップツールではありません。また、リリース当初はAmazon RDSのPostgreSQL 15.4(R2)以降が対象でしたが、現在はサポートされている一番古いバージョン13にも対応しているようです。

ちなみに、バージョン12のPostgreSQLについては2024年11月にサポートが終了したと述べましたが、Amazon Aurora PostgreSQLとAmazon RDS for PostgreSQLでは今年の2月末が利用期限でした。

2025年4月以降開催予定のセミナーやイベント⁠、ユーザ会の活動

イベントごとに利便性のあるオンライン開催や、従来通りのオンサイト（会場）開催、またはハイブリットが混在するようになっています。興味を持たれて参加したいイベントの開催形態にご注意ください。

オープンソースカンファレンス 2025 （5月～7月開催）

政府公共機関案件でNo.1オープンソースMySQLが活用される理由とは？

MySQL 5.7や8.0の新規のパッチ提供終了に伴うリスクとバージョンアップ戦略