Scientific Linux セキュリティ更新：SL5.x i386/x86_64 の postgresql84

high Nessus プラグイン ID 60794

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

PostgreSQL が PL/Perl で書かれたスクリプトに権限チェックを強制する方法で、欠陥が見つかりました。PL/Perl 手続き言語が特定のデータベースに登録されていた場合、特別に細工された PL/Perl スクリプトを実行している認証済みのデータベースユーザーがこの欠陥を利用して、意図される PL/Perl の信頼されるモードの制限をバイパスすることにより、任意の Perl スクリプトがデータベースサーバーの権限で実行される恐れがあります。
（CVE-2010-1169）

PostgreSQL が PL/Tcl で書かれたスクリプトに権限チェックを強制する方法で、欠陥が見つかりました。PL/Tcl 手続き言語が特定のデータベースに登録されていた場合、特別に細工された PL/Tcl スクリプトを実行している認証されたデータベースユーザーが、この欠陥を利用して、意図された PL/Tcl の信頼できるモードの制限をバイパスすることにより、任意の Tcl スクリプトがデータベースサーバーの権限で実行される可能性があります。
（CVE-2010-1170）

postgresql サービスが実行中の場合、この更新のインストール後に自動的に再起動されます。

注 1：postgresql84 および postgresql パッケージは、同じシステム上で同時にインストールすることはできません。postgresql-libs パッケージが postgresql 84 と平行して維持できる場合は例外です。postgresql-libs パッケージには、既存のアプリケーションがリンクされている可能性のあるクライアント側のライブラリコードが含まれています。これらのライブラリは、引き続き新しいサーバーで動作します。

注 2：8.4.x にも、8.1.x とは異なるオンディスクデータ形式があるため、パッケージを単に置換することで、既存の 8.1.x の PostgreSQL データベースを 8.4.x にアップグレードすることはできません。その代わりに、最初に pg_dumpall コマンドを使用して既存のデータベースのコンテンツをダンプします。そして、古いサーバーをシャットダウンし、（/var/lib/pgsql/data における）データベースファイルを削除します。次に、古いパッケージを削除し、新しいパッケージをインストールして新しいサーバーを起動します。そして、最後に pg_dumpall 出力からデータを復元します。