openSUSEセキュリティ更新プログラム:postgresql96 / postgresql10 and postgresql12(openSUSE-2020-1227)
critical Nessus プラグイン ID 139655
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このpostgresql96、postgresql10、およびpostgresql12用の更新プログラムでは、次の問題が修正されます:postgresql10が10.13に更新されました(bsc#1171924)。
https://www.postgresql.org/about/news/2038/ https://www.postgresql.org/docs/10/release-10-13.html
postgresql10が10.12に更新されました(CVE-2020-1720、bsc#1163985)。
-https://www.postgresql.org/about/news/2011/
-https://www.postgresql.org/docs/10/release-10-12.html
postgresql10が10.11に更新されました:
-https://www.postgresql.org/about/news/1994/
-https://www.postgresql.org/docs/10/release-10-11.html
postgresql12が12.3に更新されました(bsc#1171924)。
バグ修正と改善:
- GENERATED列に対して複数の修正が行われました。これには、生成された列の出力がテーブルの物理列の正確なコピーであった場合(たとえば、式自身の入力を返す可能性のある関数を式が呼び出した場合)、テーブル内のデータがクラッシュまたは破損する可能性がある問題が含まれます。
- ALTER TABLEに対して複数の修正が行われました。たとえば、SET STORAGEディレクティブがテーブルのインデックスに確実に伝播されるようにします。
- 別のセッションが同じオブジェクトを削除している間にDROP OWNED BYを使用した場合に発生する可能性のある競合状態を修正します。
- ROWトリガーを継承しているパーティションをデタッチできるようにします。
- 特にREINDEX CONCURRENTLY操作が失敗した場合の問題について、REINDEX CONCURRENTLYに複数の修正が行われました。
- パーティション境界式で照合順序付けできないタイプにCOLLATEが適用された場合にクラッシュする問題を修正します。
- 浮動小数点オーバーフロー/アンダーフロー検出におけるパフォーマンス低下を修正します。
- 全文検索、特にフレーズ検索について複数の修正が行われました。
- クエリのFROM句で使用される集合を返す関数のクエリの存続期間におけるメモリリークを修正します。
- VACUUM VERBOSEの出力に対し、レポートに関する複数の修正が行われました。
- ドキュメントで指定されているとおり、円タイプの入力で(x,y),rフォーマットが受け入れられるようにします。
- get_bit()およびset_bit()関数が256MBより長いバイト文字列で失敗しないようにします。
- クラッシュリカバリ中のWALセグメントの早すぎるリサイクルを回避します。これが行われた場合、WALセグメントがアーカイブされる前にリサイクルされる可能性があります。
- 無関係なタイムラインをスキップすることで、リカバリ中にアーカイブストレージから存在しないWALファイルのフェッチが試行されないようにします。
- 論理レプリケーションおよびレプリケーションスロットに対して複数の修正が行われました。
- 同期スタンバイ管理におけるいくつかの競合状態を修正します。これには、synchronous_standby_names設定の変更時に発生する競合が含まれます。
- GSSAPIサポートに対して複数の修正が行われました。これには、GSSAPI暗号化の使用時に発生するメモリリークの修正が含まれます。
- pg_read_all_statsロールのメンバーがすべての統計ビューを読み取れるようにします。
- information_schema.triggersビューのパフォーマンスの低下を修正します。
- sslmode=verify-full使用時のlibpqにおけるメモリリークを修正します。
- 失敗した接続を再確立しようとする際のpsqlのクラッシュを修正します。
- psqlの\gxコマンドに対するファイル名引数のタブ完了を許可します。
- pg_dumpサポートをALTER ... DEPENDS ON EXTENSIONに追加します。
- pg_dumpに対してその他にも複数の修正が行われました。これには、RLSポリシーでのコメントのダンプや、最後までイベントトリガーの復元を延期することが含まれます。
- pg_basebackupが有効なtarファイルを生成するようにします。
- pg_checksumsが、異なるPostgreSQLメジャーバージョンに属するテーブルスペースのサブディレクトリをスキップします
- Windows互換性に関する複数の修正
この更新には、モロッコとユーコン(カナダ)でのDST法の変更に合わせたタイムゾーンのtzdata 2020aリリースと、上海に関する歴史的修正も含まれています。America/Godthabゾーンは、現在の英語での呼称を反映して、America/Nuukに名前が変更されました。ただし、古い名前も互換性リンクとして引き続き利用可能です。これにより、最新の追加を含めるように、既知のWindowsタイムゾーン名のinitdbリストも更新されます。
詳細は、以下を参照してください。
-https://www.postgresql.org/docs/12/release-12-3.html
その他の修正:
- postgresqlXXをpostgresql-noarch < 12.0.1と競合させて、新しいパッケージスキーマに対する簡潔かつ完全なカットオーバーを得ます。
postgresql96が9.6.19に更新されました:
- CVE-2020-14350、boo#1175194:contribモジュールのインストールスクリプトの安全性を高めます。
-https://www.postgresql.org/docs/9.6/release-9-6-19.html
- /usr/lib/postgresqlシンボリックリンクをメインパッケージのみにパックします。
- postgresqlXXをpostgresql-noarch < 12.0.1と競合させて、新しいパッケージスキーマに対する簡潔かつ完全なカットオーバーを得ます。
- 9.6.18に更新します(boo#1171924)。
https://www.postgresql.org/about/news/2038/ https://www.postgresql.org/docs/9.6/release-9-6-18.html
- 仕様ファイルを統一し、現在のすべてのPostgreSQLバージョンで機能するようにして、将来のメンテナンスを簡素化します。
-「libs」ビルドフレーバーから、ビルドサービス内でのみ使用され、出荷されない「mini」パッケージに移動します。これにより、debuginfoパッケージとの混同が回避されます(boo#1148643)。
- 9.6.17への更新(CVE-2020-1720、boo#1163985)https://www.postgresql.org/about/news/2011/ https://www.postgresql.org/docs/9.6/release-9-6-17.html
- ソースに対してsha256チェックサムを使用し、パッケージ化します
- 9.6.16への更新:
https://www.postgresql.org/about/news/1994/ https://www.postgresql.org/docs/9.6/release-9-6-16.html
- pg_config --libsによって返されるlibsのdevelパッケージにrequiresを追加します
- 9.6.15 に更新します:
-https://www.postgresql.org/about/news/1960/
-https://www.postgresql.org/docs/9.6/release-9-6-15.html
- CVE-2019-10208、boo#1145092:pg_tempのTYPEが、SECURITY DEFINERの実行中に任意のSQLを実行します。
- 適切な静的ライブラリを提供するために、FAT LTOオブジェクトを使用します。
- 、 を修正する 9.6.14 へ更新してください注意:
https://www.postgresql.org/docs/9.6/release-9-6-14.html
- 9.6.13 に更新します:
-https://www.postgresql.org/docs/9.6/release-9-6-13.html
-https://www.postgresql.org/about/news/1939/
- CVE-2019-10130、boo#1134689:行レベルのセキュリティポリシーが選択度推定子によってバイパスされないようにします。
- 複数のバージョンでserver-develパッケージを排他的にします。
- 9.6.12 に更新します:
-https://www.postgresql.org/docs/9.6/release-9-6-12.html
-https://www.postgresql.org/about/news/1920/
- デフォルトでは、データの破損を回避するために、fsync()の失敗後に再試行する代わりにパニックを引き起こします。
- その他の多数のバグ修正。
- README.SUSEのオーバーホール
- 9.6.11 に更新します:
- 多数のバグ修正があります。以下のリリースノートを参照してください:
https://www.postgresql.org/docs/9.6/release-9-6-11.html
- PGXSから不必要なライブラリの依存関係を削除します。
- postgresql 11で導入される新しいserver-develパッケージ用のプロバイダーを追加します
- 、 を修正する 9.6.10 へ更新してください注意:
https://www.postgresql.org/docs/current/static/release-9-6-10.html
- CVE-2018-10915、boo#1104199:接続試行間でlibpqの状態を完全にリセットできない問題を修正します。
- CVE-2018-10925、boo#1104202:INSERT ... ON CONFLICT UPDATEをSELECT * FROM ...のみではないビューから修正します
- 、 を修正する 9.6.9 へ更新してください注意:
https://www.postgresql.org/about/news/1851/ https://www.postgresql.org/docs/current/static/release-9-6-9.html ダンプ/復元は、9.6.Xを実行している場合は必須ではありません。ただし、adminpack拡張を使用している場合は、以下の最初の変更ログエントリに従って更新する必要があります。また、以下の2つ目と3つ目の変更ログエントリで言及されている間違いを含む関数の影響を受ける場合は、データベースカタログを修正する手順を実行する必要があります。
- CVE-2018-1115、boo#1091610:contrib/adminpackのpg_logfile_rotate()関数からパブリック実行権限を削除します。pg_logfile_rotate()は、コア関数pg_rotate_logfile()の非推奨ラッパーです。ハードコードされたスーパーユーザーチェックではなく、アクセス制御のためにSQL権限に依存するようにその関数が変更された場合は、pg_logfile_rotate()も更新されるべきでしたが、その必要性がありませんでした。そのため、adminpackがインストールされている場合は、任意のユーザーがログファイルローテーションをリクエストし、マイナーなセキュリティ問題を引き起こす可能性があります。この更新のインストール後に、管理者が、adminpackがインストールされている各データベースでALTER EXTENSION adminpack UPDATEを実行し、adminpackを更新する必要があります。
- いくつかの作り込みの関数の誤った変動性マーキングを修正します
- いくつかの作り込みの関数の誤ったパラレル安全マーキングを修正します。
この更新はSUSEからインポートされました:SLE-15-SP1: 更新プロジェクトを更新します。
ソリューション
影響を受けるpostgresql96 / postgresql10およびpostgresql12パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1091610
https://bugzilla.opensuse.org/show_bug.cgi?id=1104199
https://bugzilla.opensuse.org/show_bug.cgi?id=1104202
https://bugzilla.opensuse.org/show_bug.cgi?id=1134689
https://bugzilla.opensuse.org/show_bug.cgi?id=1145092
https://bugzilla.opensuse.org/show_bug.cgi?id=1148643
https://bugzilla.opensuse.org/show_bug.cgi?id=1163985
https://bugzilla.opensuse.org/show_bug.cgi?id=1171924
https://bugzilla.opensuse.org/show_bug.cgi?id=1175194
https://www.postgresql.org/about/news/1851/
https://www.postgresql.org/about/news/1920/
https://www.postgresql.org/about/news/1939/
https://www.postgresql.org/about/news/1960/
https://www.postgresql.org/about/news/1994/
https://www.postgresql.org/about/news/2011/
https://www.postgresql.org/about/news/2038/
https://www.postgresql.org/docs/10/release-10-11.html
https://www.postgresql.org/docs/10/release-10-12.html
https://www.postgresql.org/docs/10/release-10-13.html
https://www.postgresql.org/docs/12/release-12-3.html
https://www.postgresql.org/docs/9.6/release-9-6-11.html
https://www.postgresql.org/docs/9.6/release-9-6-12.html
https://www.postgresql.org/docs/9.6/release-9-6-13.html
https://www.postgresql.org/docs/9.6/release-9-6-14.html
https://www.postgresql.org/docs/9.6/release-9-6-15.html
https://www.postgresql.org/docs/9.6/release-9-6-16.html
https://www.postgresql.org/docs/9.6/release-9-6-17.html
https://www.postgresql.org/docs/9.6/release-9-6-18.html
https://www.postgresql.org/docs/9.6/release-9-6-19.html
プラグインの詳細
深刻度: Critical
ID: 139655
ファイル名: openSUSE-2020-1227.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/8/18
更新日: 2024/2/26
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.5
現状値: 4.8
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS スコアのソース: CVE-2019-10208
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2018-1115
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:libecpg6, p-cpe:/a:novell:opensuse:libecpg6-debuginfo, p-cpe:/a:novell:opensuse:libpq5, p-cpe:/a:novell:opensuse:libpq5-debuginfo, p-cpe:/a:novell:opensuse:postgresql, p-cpe:/a:novell:opensuse:postgresql-contrib, p-cpe:/a:novell:opensuse:postgresql-devel, p-cpe:/a:novell:opensuse:postgresql-llvmjit, p-cpe:/a:novell:opensuse:postgresql-plperl, p-cpe:/a:novell:opensuse:postgresql-plpython, p-cpe:/a:novell:opensuse:postgresql-pltcl, p-cpe:/a:novell:opensuse:postgresql-server, p-cpe:/a:novell:opensuse:postgresql-server-devel, p-cpe:/a:novell:opensuse:postgresql-test, p-cpe:/a:novell:opensuse:postgresql10, p-cpe:/a:novell:opensuse:postgresql10-contrib, p-cpe:/a:novell:opensuse:postgresql10-contrib-debuginfo, p-cpe:/a:novell:opensuse:postgresql10-debuginfo, p-cpe:/a:novell:opensuse:postgresql10-debugsource, p-cpe:/a:novell:opensuse:postgresql10-devel, p-cpe:/a:novell:opensuse:postgresql10-devel-debuginfo, p-cpe:/a:novell:opensuse:postgresql10-plperl, p-cpe:/a:novell:opensuse:postgresql10-plperl-debuginfo, p-cpe:/a:novell:opensuse:postgresql10-plpython, p-cpe:/a:novell:opensuse:postgresql10-plpython-debuginfo, p-cpe:/a:novell:opensuse:postgresql10-pltcl, p-cpe:/a:novell:opensuse:postgresql10-pltcl-debuginfo, p-cpe:/a:novell:opensuse:postgresql10-server, p-cpe:/a:novell:opensuse:postgresql10-server-debuginfo, p-cpe:/a:novell:opensuse:postgresql10-test, p-cpe:/a:novell:opensuse:postgresql12, p-cpe:/a:novell:opensuse:postgresql12-contrib, p-cpe:/a:novell:opensuse:postgresql12-contrib-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-debugsource, p-cpe:/a:novell:opensuse:postgresql12-devel, p-cpe:/a:novell:opensuse:postgresql12-devel-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-llvmjit, p-cpe:/a:novell:opensuse:postgresql12-llvmjit-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-plperl, p-cpe:/a:novell:opensuse:postgresql12-plperl-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-plpython, p-cpe:/a:novell:opensuse:postgresql12-plpython-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-pltcl, p-cpe:/a:novell:opensuse:postgresql12-pltcl-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-server, p-cpe:/a:novell:opensuse:postgresql12-server-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-server-devel, p-cpe:/a:novell:opensuse:postgresql12-server-devel-debuginfo, p-cpe:/a:novell:opensuse:postgresql12-test, p-cpe:/a:novell:opensuse:postgresql96, p-cpe:/a:novell:opensuse:postgresql96-contrib, p-cpe:/a:novell:opensuse:postgresql96-contrib-debuginfo, p-cpe:/a:novell:opensuse:postgresql96-debuginfo, p-cpe:/a:novell:opensuse:postgresql96-debugsource, p-cpe:/a:novell:opensuse:postgresql96-devel, p-cpe:/a:novell:opensuse:postgresql96-devel-debuginfo, p-cpe:/a:novell:opensuse:postgresql96-plperl, p-cpe:/a:novell:opensuse:postgresql96-plperl-debuginfo, p-cpe:/a:novell:opensuse:postgresql96-plpython, p-cpe:/a:novell:opensuse:postgresql96-plpython-debuginfo, p-cpe:/a:novell:opensuse:postgresql96-pltcl, p-cpe:/a:novell:opensuse:postgresql96-pltcl-debuginfo, p-cpe:/a:novell:opensuse:postgresql96-server, p-cpe:/a:novell:opensuse:postgresql96-server-debuginfo, p-cpe:/a:novell:opensuse:postgresql96-test, cpe:/o:novell:opensuse:15.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/8/17
脆弱性公開日: 2018/5/10
参照情報
CVE: CVE-2018-10915, CVE-2018-10925, CVE-2018-1115, CVE-2019-10130, CVE-2019-10208, CVE-2020-14350, CVE-2020-1720
IAVB: 2020-B-0047-S