検出

openSUSEセキュリティ更新プログラム:postgresql95(openSUSE-2018-204)

critical Nessus プラグイン ID 106965

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このpostgresql95の更新では、以下の問題を修正します:

PostgreSQL 9.5.11への更新:

キャッシュサイドチャネル攻撃の軽減:

 -https://www.postgresql.org/docs/9.5/static/release-9-5-11.html

- CVE-2018-1053、boo#1077983:pg_upgradeで作成されたすべての一時ファイルを誰でも読み取れるようにします。

- boo#1079757:pg_rewindのcopy_file_range関数の名前を変更し、その名前の新しいLinuxシステムコールとの競合を回避します。

バージョン 9.5.10:

 -https://www.postgresql.org/docs/9.5/static/release-9-5-10.html

 - CVE-2017-15098、boo#1067844:JSON関数のメモリリーク

 - CVE-2017-15099、boo#1067841:INSERT ... ON CONFLICT DO UPDATEはSELECT権限の実行に失敗します

バージョン 9.5.9:

 -https://www.postgresql.org/docs/9.5/static/release-9-5-9.html

 - information_schema.table_privilegesビューで外部テーブルを表示します。

 - 失敗したトランザクションのROLLBACKの実行を試行する際に発生する致命的な終了(例:SIGTERMの受信による)処理をクリーンアップします。

 - 致命的な終了の間にトリガーされる可能性のあるアサーションを削除します。

 - 検索中の複合型またはドメイン型よりも、範囲型またはドメイン型の列を正しく識別します。

 - 並行モードを使用し、リストファイルを使用して復元する項目のサブセットを選択する場合、pg_restoreでのクラッシュを修正します。

 - ecpgパーサーを変更し、C変数が添付されていないRETURNING節を許可します。

バージョン 9.5.8:

 -https://www.postgresql.org/docs/9.5/static/release-9-5-8.html

 - CVE-2017-7547、boo#1051685:pg_user_mappings.umoptionsの可視性をさらに制限し、ユーザーマッピングオプションとして保存されたパスワードを保護します。

 - CVE-2017-7546、boo#1051684:すべてのパスワードベースの認証方法で空のパスワードを許可しません。

 - CVE-2017-7548、boo#1053259:lo_put()関数がACLを無視します。

ソリューション

影響を受けるpostgresql95パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1051684

https://bugzilla.opensuse.org/show_bug.cgi?id=1051685

https://bugzilla.opensuse.org/show_bug.cgi?id=1053259

https://bugzilla.opensuse.org/show_bug.cgi?id=1067841

https://bugzilla.opensuse.org/show_bug.cgi?id=1067844

https://bugzilla.opensuse.org/show_bug.cgi?id=1077983

https://bugzilla.opensuse.org/show_bug.cgi?id=1079757

https://www.postgresql.org/docs/9.5/release-9-5-10.html

https://www.postgresql.org/docs/9.5/release-9-5-11.html

https://www.postgresql.org/docs/9.5/release-9-5-8.html

https://www.postgresql.org/docs/9.5/release-9-5-9.html

プラグインの詳細

深刻度: Critical

ID: 106965

ファイル名: openSUSE-2018-204.nasl

バージョン: 3.4

タイプ: local

エージェント: unix

公開日: 2018/2/23

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:postgresql95, p-cpe:/a:novell:opensuse:postgresql95-contrib, p-cpe:/a:novell:opensuse:postgresql95-contrib-debuginfo, p-cpe:/a:novell:opensuse:postgresql95-debuginfo, p-cpe:/a:novell:opensuse:postgresql95-debugsource, p-cpe:/a:novell:opensuse:postgresql95-devel, p-cpe:/a:novell:opensuse:postgresql95-devel-debuginfo, p-cpe:/a:novell:opensuse:postgresql95-libs-debugsource, p-cpe:/a:novell:opensuse:postgresql95-plperl, p-cpe:/a:novell:opensuse:postgresql95-plperl-debuginfo, p-cpe:/a:novell:opensuse:postgresql95-plpython, p-cpe:/a:novell:opensuse:postgresql95-plpython-debuginfo, p-cpe:/a:novell:opensuse:postgresql95-pltcl, p-cpe:/a:novell:opensuse:postgresql95-pltcl-debuginfo, p-cpe:/a:novell:opensuse:postgresql95-server, p-cpe:/a:novell:opensuse:postgresql95-server-debuginfo, p-cpe:/a:novell:opensuse:postgresql95-test, cpe:/o:novell:opensuse:42.3

必要な KB アイテム: Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu, Host/local_checks_enabled

パッチ公開日: 2018/2/22

参照情報

CVE: CVE-2017-15098, CVE-2017-15099, CVE-2017-7546, CVE-2017-7547, CVE-2017-7548, CVE-2018-1053