SUSE SLED15 / SLES15セキュリティ更新プログラム:postgresql10 / postgresql12(SUSE-SU-2020:2149-1)
medium Nessus プラグイン ID 139407
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このpostgresql10およびpostgresql12用の更新プログラムでは、次の問題が修正されます:postgresql10が10.13に更新されました(bsc#1171924)。
https://www.postgresql.org/about/news/2038/ https://www.postgresql.org/docs/10/release-10-13.html
postgresql10が10.12に更新されました(CVE-2020-1720、bsc#1163985)。
https://www.postgresql.org/about/news/2011/
https://www.postgresql.org/docs/10/release-10-12.html
postgresql10が10.11に更新されました:
https://www.postgresql.org/about/news/1994/
https://www.postgresql.org/docs/10/release-10-11.html
postgresql12が12.3に更新されました(bsc#1171924)。
バグ修正と改善:
GENERATED列に対して複数の修正が行われました。これには、生成された列の出力がテーブルの物理列の正確なコピーであった場合(たとえば、式自身の入力を返す可能性のある関数を式が呼び出した場合)、テーブル内のデータがクラッシュまたは破損する可能性がある問題が含まれます。
ALTER TABLEに対して複数の修正が行われました。たとえば、SET STORAGEディレクティブがテーブルのインデックスに確実に伝播されるようにします。
別のセッションが同じオブジェクトを削除している間にDROP OWNED BYを使用した場合に発生する可能性のある競合状態を修正します。
ROWトリガーを継承しているパーティションをデタッチできるようにします。
特にREINDEX CONCURRENTLY操作が失敗した場合の問題について、REINDEX CONCURRENTLYに複数の修正が行われました。
パーティション境界式で照合順序付けできないタイプにCOLLATEが適用された場合にクラッシュする問題を修正します。
浮動小数点オーバーフロー/アンダーフロー検出におけるパフォーマンス低下を修正します。
全文検索、特にフレーズ検索について複数の修正が行われました。
クエリのFROM句で使用される集合を返す関数のクエリの存続期間におけるメモリリークを修正します。
VACUUM VERBOSEの出力に対し、レポートに関する複数の修正が行われました。
ドキュメントで指定されているとおり、円タイプの入力で(x,y),rフォーマットが受け入れられるようにします。
get_bit()およびset_bit()関数が256MBより長いバイト文字列で失敗しないようにします。
クラッシュリカバリ中のWALセグメントの早すぎるリサイクルを回避します。これが行われた場合、WALセグメントがアーカイブされる前にリサイクルされる可能性があります。
無関係なタイムラインをスキップすることで、リカバリ中にアーカイブストレージから存在しないWALファイルのフェッチが試行されないようにします。
論理レプリケーションおよびレプリケーションスロットに対して複数の修正が行われました。
同期スタンバイ管理におけるいくつかの競合状態を修正します。これには、synchronous_standby_names設定の変更時に発生する競合が含まれます。
GSSAPIサポートに対して複数の修正が行われました。これには、GSSAPI暗号化の使用時に発生するメモリリークの修正が含まれます。
pg_read_all_statsロールのメンバーがすべての統計ビューを読み取れるようにします。
information_schema.triggersビューのパフォーマンスの低下を修正します。
sslmode=verify-full使用時のlibpqにおけるメモリリークを修正します。
失敗した接続を再確立しようとする際のpsqlのクラッシュを修正します。
psqlの\gxコマンドに対するファイル名引数のタブ完了を許可します。
pg_dumpサポートをALTER ... DEPENDS ON EXTENSIONに追加します。
pg_dumpに対してその他にも複数の修正が行われました。これには、RLSポリシーでのコメントのダンプや、最後までイベントトリガーの復元を延期することが含まれます。
pg_basebackupが有効なtarファイルを生成するようにします。
pg_checksumsが、異なるPostgreSQLメジャーバージョンに属するテーブルスペースのサブディレクトリをスキップします
Windows互換性に関する複数の修正
この更新には、モロッコとユーコン(カナダ)でのDST法の変更に合わせたタイムゾーンのtzdata 2020aリリースと、上海に関する歴史的修正も含まれています。America/Godthabゾーンは、現在の英語での呼称を反映して、America/Nuukに名前が変更されました。ただし、古い名前も互換性リンクとして引き続き利用可能です。これにより、最新の追加を含めるように、既知のWindowsタイムゾーン名のinitdbリストも更新されます。
詳細は、以下を参照してください。
https://www.postgresql.org/docs/12/release-12-3.html
その他の修正:
postgresqlXXをpostgresql-noarch < 12.0.1と競合させて、新しいパッケージスキーマに対する簡潔かつ完全なカットオーバーを得ます。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Server for SAP 15:
zypper in -t patch SUSE-SLE-Product-SLES_SAP-15-2020-2149=1
SUSE Linux Enterprise Server 15-LTSS:
zypper in -t patch SUSE-SLE-Product-SLES-15-2020-2149=1
SUSE Linux Enterprise Module for Server Applications 15-SP1:
zypper in -t patch SUSE-SLE-Module-Server-Applications-15-SP1-2020-2149=1
SUSE Linux Enterprise Module for Packagehub Subpackages 15-SP1:
zypper in -t patch SUSE-SLE-Module-Packagehub-Subpackages-15-SP1-2020-2149=1
SUSE Linux Enterprise Module for Basesystem 15-SP1:
zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP1-2020-2149=1
SUSE Linux Enterprise High Performance Computing 15-LTSS:
zypper in -t patch SUSE-SLE-Product-HPC-15-2020-2149=1
SUSE Linux Enterprise High Performance Computing 15-ESPOS:
zypper in -t patch SUSE-SLE-Product-HPC-15-2020-2149=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1148643
https://bugzilla.suse.com/show_bug.cgi?id=1163985
https://bugzilla.suse.com/show_bug.cgi?id=1171924
https://www.postgresql.org/about/news/1994/
https://www.postgresql.org/about/news/2011/
https://www.postgresql.org/about/news/2038/
https://www.postgresql.org/docs/10/release-10-11.html
https://www.postgresql.org/docs/10/release-10-12.html
https://www.postgresql.org/docs/10/release-10-13.html
https://www.postgresql.org/docs/12/release-12-3.html
プラグインの詳細
深刻度: Medium
ID: 139407
ファイル名: suse_SU-2020-2149-1.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/8/7
更新日: 2021/1/13
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Low
基本値: 3.5
現状値: 2.6
ベクトル: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
CVSS スコアのソース: CVE-2020-1720
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libecpg6, p-cpe:/a:novell:suse_linux:libecpg6-debuginfo, p-cpe:/a:novell:suse_linux:libpq5, p-cpe:/a:novell:suse_linux:libpq5-32bit-debuginfo, p-cpe:/a:novell:suse_linux:libpq5-debuginfo, p-cpe:/a:novell:suse_linux:postgresql10, p-cpe:/a:novell:suse_linux:postgresql10-contrib, p-cpe:/a:novell:suse_linux:postgresql10-contrib-debuginfo, p-cpe:/a:novell:suse_linux:postgresql10-debuginfo, p-cpe:/a:novell:suse_linux:postgresql10-debugsource, p-cpe:/a:novell:suse_linux:postgresql10-devel, p-cpe:/a:novell:suse_linux:postgresql10-devel-debuginfo, p-cpe:/a:novell:suse_linux:postgresql10-plperl, p-cpe:/a:novell:suse_linux:postgresql10-plperl-debuginfo, p-cpe:/a:novell:suse_linux:postgresql10-plpython, p-cpe:/a:novell:suse_linux:postgresql10-plpython-debuginfo, p-cpe:/a:novell:suse_linux:postgresql10-pltcl, p-cpe:/a:novell:suse_linux:postgresql10-pltcl-debuginfo, p-cpe:/a:novell:suse_linux:postgresql10-server, p-cpe:/a:novell:suse_linux:postgresql10-server-debuginfo, p-cpe:/a:novell:suse_linux:postgresql12, p-cpe:/a:novell:suse_linux:postgresql12-contrib, p-cpe:/a:novell:suse_linux:postgresql12-contrib-debuginfo, p-cpe:/a:novell:suse_linux:postgresql12-debuginfo, p-cpe:/a:novell:suse_linux:postgresql12-debugsource, p-cpe:/a:novell:suse_linux:postgresql12-devel, p-cpe:/a:novell:suse_linux:postgresql12-devel-debuginfo, p-cpe:/a:novell:suse_linux:postgresql12-plperl, p-cpe:/a:novell:suse_linux:postgresql12-plperl-debuginfo, p-cpe:/a:novell:suse_linux:postgresql12-plpython, p-cpe:/a:novell:suse_linux:postgresql12-plpython-debuginfo, p-cpe:/a:novell:suse_linux:postgresql12-pltcl, p-cpe:/a:novell:suse_linux:postgresql12-pltcl-debuginfo, p-cpe:/a:novell:suse_linux:postgresql12-server, p-cpe:/a:novell:suse_linux:postgresql12-server-debuginfo, p-cpe:/a:novell:suse_linux:postgresql12-server-devel, p-cpe:/a:novell:suse_linux:postgresql12-server-devel-debuginfo, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/8/6
脆弱性公開日: 2020/3/17
参照情報
CVE: CVE-2020-1720