SUSE SLES12 セキュリティ更新 : postgresql、postgresql16、postgresql17 (SUSE-SU-2025:01799-1)
high Nessus プラグイン ID 237698
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:01799-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。この更新では postgresql17 を提供し、postgresql16 のセキュリティ問題を修正:
- bsc#1230423: Tom Lane が PostgreSQL パッケージャーリストでマイナーバージョン間の ABI 安定性を確認した後、PostgreSQL 拡張機能のサーバーバージョン依存を正確な major.minor から「以上」に緩和。
- bsc#1219340: 前回の修正は正しくありませんでした。依存関係を再度削除し、fillup がインストールされている場合にのみ呼び出すよう改善
postgresql16 がバージョン 16.6 に更新されました:
* struct ResultRelInfo を扱う拡張機能の ABI ブレークを修復
* ALTER {ROLE|DATABASE} SET ロールの機能を復元
* ロジカルレプリケーションスロットの restart_lsn が戻る可能性のあるケースを修正
* pg_rewind 実行中に、まだ必要な WAL ファイルを削除しないように修正。
* 共有統計エントリの削除に関連する競合状態を修正。
* 統計ビューで contrib/bloom インデックスのインデックススキャンをカウント。例: pg_stat_user_indexes.idx_scan カウンター。
* インデックスの opclass オプションが変更されているか確認する際に発生するクラッシュを修正
* 正規表現解析中に発生する、切り離された NFA サブグラフによるアサーション失敗を回避。
* https://www.postgresql.org/docs/release/16.6/
postgresql16 がバージョン 16.5 に更新されました:
* CVE-2024-10976、bsc#1233323: RLS がトップレベルでないテーブル参照に適用される場合、キャッシュされたプランが呼び出しロールに依存するようにマークされることを保証
* CVE-2024-10977、bsc#1233325: libpq が SSL または GSS プロトコル交渉中に受信したエラーメッセージを破棄するように変更
* CVE-2024-10978、bsc#1233326: SET SESSION AUTHORIZATION と SET ROLE 間の意図しない相互作用を修正
* CVE-2024-10979、bsc#1233327: 信頼できる PL/Perl コードによる環境変数の変更を防止
* https://www.postgresql.org/about/news/p-2955/* https://www.postgresql.org/docs/release/16.5/
- PostgreSQL 17 に引き渡すために、libs および mini フレーバーをこれ以上ビルドしない
* https://www.postgresql.org/about/news/p-2910/
postgresql17 がバージョン 17.2 で提供されました:
* CVE-2024-10976、bsc#1233323: RLS がトップレベルでないテーブル参照に適用される場合、キャッシュされたプランが呼び出しロールに依存するようにマークされることを保証
* CVE-2024-10977、bsc#1233325: libpq が SSL または GSS プロトコル交渉中に受信したエラーメッセージを破棄するように変更
* CVE-2024-10978、bsc#1233326: SET SESSION AUTHORIZATION と SET ROLE 間の意図しない相互作用を修正
* CVE-2024-10979、bsc#1233327: 信頼できる PL/Perl コードによる環境変数の変更を防止
* https://www.postgresql.org/about/news/p-2955/* https://www.postgresql.org/docs/release/17.1/* https://www.postgresql.org/docs/release/17.2/
17.2 にアップグレードしてください。
* struct ResultRelInfo を扱う拡張機能の ABI ブレークを修復
* ALTER {ROLE|DATABASE} SET ロールの機能を復元
* ロジカルレプリケーションスロットの restart_lsn が戻る可能性のあるケースを修正
* pg_rewind 実行中に、まだ必要な WAL ファイルを削除しないように修正。
* 共有統計エントリの削除に関連する競合状態を修正。
* 統計ビューで contrib/bloom インデックスのインデックススキャンをカウント。例: pg_stat_user_indexes.idx_scan カウンター。
* インデックスの opclass オプションが変更されているか確認する際に発生するクラッシュを修正
* 正規表現解析中に発生する、切り離された NFA サブグラフによるアサーション失敗を回避。
17.0 にアップグレードしてください。
* VACUUM 用の新しいメモリ管理システムで、メモリ使用量を削減し、全体的な VACUUM 性能を向上可能
* 新しい SQL/JSON 機能として、コンストラクタ、アイデンティティ関数、JSON データをテーブル形式に変換する JSON_TABLE() 関数などを追加。
* 各種クエリ性能の改善として、ストリーミング I/O を用いた順次読み取り、高い同時実行下での書き込みスループット、btree インデックスの複数値検索などを改善
* ロジカルレプリケーションの機能強化として、以下を追加:
- フェイルオーバー制御
- pg_createsubscriber、物理スタンバイから論理レプリカを作成するユーティリティ
- pg_upgrade がパブリッシャーおよびサブスクライバーのレプリケーションスロットを保持するようになりました
* 新しいクライアント側接続オプション sslnegotiation=direct で、ラウンドトリップ交渉を回避するため直接 TLS ハンドシェイクを実行。
* pg_basebackup が増分バックアップをサポートするようになりました。
* COPY に新しいオプション ON_ERROR ignore を追加しました。エラー発生時でもコピー操作を継続可能です。
* https://www.postgresql.org/about/news/p-2936/* https://www.postgresql.org/docs/17/release-17.html
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1219340
https://bugzilla.suse.com/1230423
https://bugzilla.suse.com/1233323
https://bugzilla.suse.com/1233325
https://bugzilla.suse.com/1233326
https://bugzilla.suse.com/1233327
https://www.suse.com/security/cve/CVE-2024-10976
https://www.suse.com/security/cve/CVE-2024-10977
https://www.suse.com/security/cve/CVE-2024-10978
https://www.suse.com/security/cve/CVE-2024-10979
https://lists.suse.com/pipermail/sle-updates/2025-June/039507.html
プラグインの詳細
深刻度: High
ID: 237698
ファイル名: suse_SU-2025-01799-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/6/3
更新日: 2025/6/3
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9
現状値: 7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2024-10979
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:12, p-cpe:/a:novell:suse_linux:libecpg6, p-cpe:/a:novell:suse_linux:libpq5, p-cpe:/a:novell:suse_linux:postgresql, p-cpe:/a:novell:suse_linux:postgresql-contrib, p-cpe:/a:novell:suse_linux:postgresql-devel, p-cpe:/a:novell:suse_linux:postgresql-docs, p-cpe:/a:novell:suse_linux:postgresql-server, p-cpe:/a:novell:suse_linux:libpq5-32bit, p-cpe:/a:novell:suse_linux:postgresql-plperl, p-cpe:/a:novell:suse_linux:postgresql-plpython, p-cpe:/a:novell:suse_linux:postgresql-pltcl, p-cpe:/a:novell:suse_linux:postgresql-server-devel, p-cpe:/a:novell:suse_linux:libecpg6-32bit, p-cpe:/a:novell:suse_linux:postgresql16, p-cpe:/a:novell:suse_linux:postgresql16-contrib, p-cpe:/a:novell:suse_linux:postgresql16-devel, p-cpe:/a:novell:suse_linux:postgresql16-docs, p-cpe:/a:novell:suse_linux:postgresql16-plperl, p-cpe:/a:novell:suse_linux:postgresql16-plpython, p-cpe:/a:novell:suse_linux:postgresql16-pltcl, p-cpe:/a:novell:suse_linux:postgresql16-server, p-cpe:/a:novell:suse_linux:postgresql16-server-devel
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/6/2
脆弱性公開日: 2024/11/12
参照情報
CVE: CVE-2024-10976, CVE-2024-10977, CVE-2024-10978, CVE-2024-10979
IAVB: 2024-B-0175-S
SuSE: SUSE-SU-2025:01799-1