GLSA-201110-22：PostgreSQL：複数の脆弱性

high Nessus プラグイン ID 56626

Language:

概要

リモートのGentooホストに1つ以上のセキュリティ関連のパッチがありません。

説明

リモートホストは、GLSA-201110-22（PostgreSQL：複数の脆弱性）

PostgreSQL に複数の脆弱性が発見されました。詳細については、以下に記載されているCVE識別番号を参照してください。
影響：

認証されたリモートの攻撃者は、「intarray」モジュールを有効にした PostgreSQL サーバーに、特別に細工された SQL クエリを送信する可能性があるため、PostgreSQL サーバープロセスの権限で任意のコードを実行するか、サービス拒否状態をもたらす可能性があります。さらに、認証されたリモートの攻撃者は、任意の Perl コードを実行する可能性があるため、異なるベクトルを通じてサービス拒否状態を引き起こし、LDAP 認証をバイパスし、X.509 証明書の検証をバイパスし、データベースの権限を取得し、脆弱な blowfish 暗号化を悪用し、そしてその他の詳細不明な影響をもたらす可能性があります。
回避策：

現時点では、既知の回避策はありません。

ソリューション

PostgreSQL 8.2の全ユーザーは、最新の8.2バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/postgresql-base-8.2.22:8.2' PostgreSQL 8.3の全ユーザーは、最新の8.3バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/postgresql-base-8.3.16:8.3' PostgreSQL 8.4の全ユーザーは、最新の8.4バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/postgresql-base-8.4.9:8.4' PostgreSQL 9.0の全ユーザーは、最新の9.0バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/postgresql-base-9.0.5:9.0' PostgreSQL 8.2サーバーの全ユーザーは、最新の8.2バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/postgresql-server-8.2.22:8.2' PostgreSQL 8.3サーバーの全ユーザーは、最新の8.3バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/postgresql-server-8.3.16:8.3' PostgreSQL 8.4サーバーの全ユーザーは、最新の8.4バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/postgresql-server-8.4.9:8.4' PostgreSQL 9.0サーバーの全ユーザーは、最新の9.0バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/postgresql-server-9.0.5:9.0' 古い分割されていないPostgreSQLパッケージが、portageから削除されました。
これらを引き続き使用しているユーザーは、上記で示した新しいPostgreSQLパッケージに移行し、古いパッケージを削除することが推奨されています：
# emerge --unmerge 'dev-db/postgresql'