SUSE SLES12 セキュリティ更新postgresql、postgresql16、postgresql17SUSE-SU-2025:01799-1]

high Nessus プラグイン ID 237698

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:01799-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

この更新では、postgresql17 が出荷され、postgresql16 のセキュリティの問題が修正されています

- bsc#1230423Tom Lane が PostgreSQL パッケージラーリストで ABI 安定性がマイナーリリース間で対応されていることを確認した後、 サーバーバージョンの拡張の依存関係を完全な major.minor からそれ以降に緩和します。

- bsc#1219340最新の修正が正しくありませんでした。依存関係を再度削除し、インストールされている場合にのみ fillup を呼び出すことでこれを改善します。

postgresql16 が に更新されました 16.6
* ResultRelInfo 構造体で動作する拡張の ABI ブレークを修正。
* ALTER {ROLE|DATABASE} SET ロールの機能を復元します。
* 論理レプリケーションスロットの restart_lsn が後退する可能性のあるケースを修正します。
* pg_rewind の際に、まだ必要な WAL ファイルの削除を回避します。
* 共有統計エントリのドロップに関連する競合状態を修正します。
* pg_stat_user_indexes.idx_scan カウンターなどの統計ビューの contrib/bloom インデックスでインデックススキャンをカウントします。
* インデックスの opclass オプションが変更されているかを確認するためにチェックする際のクラッシュを修正します。
* 正規表現解析で切断された NFA サブグラフによって引き起こされるアサーションの失敗を回避します。
* https://www.postgresql.org/docs/release/16.6/

postgresql16 が に更新されました 16.5

* CVE-2024-10976、 bsc#1233323RLS が非トップレベルテーブル参照に適用される際、キャッシュされたプランが呼び出し元のロールに依存するものとしてマークされるようにします。
* CVE-2024-10977、 bsc#1233325SSL または GSS プロトコルのネゴシエーション中に受信したエラーメッセージを libpq が破棄するようにします。
* CVE-2024-10978、 bsc#1233326SET SESSION AUTHORIZATION と SET ROLE の間の意図しない相互作用を修正します
* CVE-2024-10979、 bsc#1233327信頼できる PL/Perl コードによる環境変数の変更を防ぎます。
* https://www.postgresql.org/about/news/p-2955/* https://www.postgresql.org/docs/release/16.5/

- PostgreSQL 17 に渡すために、libs および mini フレーバーをこれ以上ビルドしません。

* https://www.postgresql.org/about/news/p-2910/

postgresql17 はバージョン で出荷されます 17.2

* CVE-2024-10976、 bsc#1233323RLS が非トップレベルテーブル参照に適用される際、キャッシュされたプランが呼び出し元のロールに依存するものとしてマークされるようにします。
* CVE-2024-10977、 bsc#1233325SSL または GSS プロトコルのネゴシエーション中に受信したエラーメッセージを libpq が破棄するようにします。
* CVE-2024-10978、 bsc#1233326SET SESSION AUTHORIZATION と SET ROLE の間の意図しない相互作用を修正します
* CVE-2024-10979、 bsc#1233327信頼できる PL/Perl コードによる環境変数の変更を防ぎます。
* https://www.postgresql.org/about/news/p-2955/* https://www.postgresql.org/docs/release/17.1/* https://www.postgresql.org/docs/release/17.2/

17.2 にアップグレードしてください。

* ResultRelInfo 構造体で動作する拡張の ABI ブレークを修正。
* ALTER {ROLE|DATABASE} SET ロールの機能を復元します。
* 論理レプリケーションスロットの restart_lsn が後退する可能性のあるケースを修正します。
* pg_rewind の際に、まだ必要な WAL ファイルの削除を回避します。
* 共有統計エントリのドロップに関連する競合状態を修正します。
* pg_stat_user_indexes.idx_scan カウンターなどの統計ビューの contrib/bloom インデックスでインデックススキャンをカウントします。
* インデックスの opclass オプションが変更されているかを確認するためにチェックする際のクラッシュを修正します。
* 正規表現解析で切断された NFA サブグラフによって引き起こされるアサーションの失敗を回避します。

17.0 にアップグレードしてください。

* VACUUM 用の新しいメモリ管理システムにより、メモリ消費を減らし、全体的なバキューム処理のパフォーマンスを向上させることができます。
* コンストラクター、識別関数、および JSON データをテーブル表現に変換する JSON_TABLE() 関数を含む、新しい SQL/JSON 機能。
* ストリーミング I/O を使用したシーケンシャル読み取り、高同時性での書き込みスループット、btree インデックスの複数の値での検索を含む、さまざまなクエリパフォーマンスの改善。
* 以下を含む論理レプリケーションの機能強化
- フェールオーバーコントロール
- 物理スタンバイから論理レプリカを作成するユーティリティ pg_createsubscriber
- pg_upgrade は現在、パブリッシュとサブスクライバーの両方でレプリケーションスロットを保持するようになりました
* ラウンドトリップネゴシエーションを回避するためにダイレクト TLS ハンドシェイクを実行する新しいクライアント側接続オプション、 sslnegotiation=direct。
* pg_basebackup は現在、増分バックアップをサポートするようになりました。
* COPY は、ON_ERROR 無視という新しいオプションを追加します。これにより、エラーの際にコピー操作を続行することができます。
* https://www.postgresql.org/about/news/p-2936/* https://www.postgresql.org/docs/17/release-17.html

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1219340

https://bugzilla.suse.com/1230423

https://bugzilla.suse.com/1233323

https://bugzilla.suse.com/1233325

https://bugzilla.suse.com/1233326

https://bugzilla.suse.com/1233327

https://lists.suse.com/pipermail/sle-updates/2025-June/039507.html

https://www.suse.com/security/cve/CVE-2024-10976

https://www.suse.com/security/cve/CVE-2024-10977

https://www.suse.com/security/cve/CVE-2024-10978

https://www.suse.com/security/cve/CVE-2024-10979

プラグインの詳細

深刻度: High

ID: 237698

ファイル名: suse_SU-2025-01799-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/6/3

更新日: 2025/6/3

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9

現状値: 7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-10979

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:libecpg6, p-cpe:/a:novell:suse_linux:libpq5-32bit, p-cpe:/a:novell:suse_linux:postgresql16-plpython, p-cpe:/a:novell:suse_linux:libecpg6-32bit, p-cpe:/a:novell:suse_linux:postgresql16-devel, p-cpe:/a:novell:suse_linux:postgresql16-pltcl, p-cpe:/a:novell:suse_linux:postgresql, p-cpe:/a:novell:suse_linux:postgresql-plperl, p-cpe:/a:novell:suse_linux:postgresql16-docs, p-cpe:/a:novell:suse_linux:libpq5, p-cpe:/a:novell:suse_linux:postgresql16, p-cpe:/a:novell:suse_linux:postgresql16-server-devel, p-cpe:/a:novell:suse_linux:postgresql-pltcl, p-cpe:/a:novell:suse_linux:postgresql-server, p-cpe:/a:novell:suse_linux:postgresql-docs, p-cpe:/a:novell:suse_linux:postgresql-devel, cpe:/o:novell:suse_linux:12, p-cpe:/a:novell:suse_linux:postgresql-server-devel, p-cpe:/a:novell:suse_linux:postgresql16-server, p-cpe:/a:novell:suse_linux:postgresql-contrib, p-cpe:/a:novell:suse_linux:postgresql-plpython, p-cpe:/a:novell:suse_linux:postgresql16-plperl, p-cpe:/a:novell:suse_linux:postgresql16-contrib

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/6/2

脆弱性公開日: 2024/11/12

参照情報

CVE: CVE-2024-10976, CVE-2024-10977, CVE-2024-10978, CVE-2024-10979

IAVB: 2024-B-0175-S

SuSE: SUSE-SU-2025:01799-1