Scientific Linux セキュリティ更新：SL5.x、SL6.x i386/x86_64 の postgresql と postgresql84

high Nessus プラグイン ID 70705

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

PostgreSQL が列挙型を使用して特定のエラーを処理する方法で、ヒープベースの領域外バッファ読み込みの欠陥を引き起こす配列インデックスエラーが見つかりました。権限のないデータベースユーザーが、特別に細工された SQL クエリを発行することが可能です。このクエリが PostgreSQL サービスのサーバーコンポーネントにより処理された場合、サービス拒否（デーモンのクラッシュ）が起こったり、サーバーメモリの特定の部分が漏洩したりする可能性があります。(CVE-2013-0255)

pgcrypto contrib モジュールが内部乱数発生器を（再）初期化する方法で、欠陥が見つかりました。これにより、特定の pgcrypto 関数が使用する乱数のエントロピーでビット数が少ない状態になり、攻撃者が他の攻撃を実行する可能性があります。(CVE-2013-1900)

これらの更新済みパッケージは、PostgreSQL をバージョン 8.4.18 にアップグレードします。これにより、これらの問題といくつかのセキュリティ以外の問題が修正されます。変更の完全なリストについては、「PostgreSQL リリースノート」を参照してください：

http://www.postgresql.org/docs/8.4/static/release-8-4-18.html

この更新をインストールした後で、次の条件の 1 つ以上を満たす汎用検索ツリー（GiST）である REINDEX コマンドを使用してリビルドすることを推奨します。

- ボックス、多角形、円またはポイントカラムの GiST インデックス

- テキスト、bytea、ビット、数値といった可変幅のデータタイプの GiST インデックス

- GiST マルチカラムインデックス

postgresql サービスが実行中の場合、この更新のインストール後に自動的に再起動されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://www.postgresql.org/docs/8.4/static/release-8-4-18.html

http://www.nessus.org/u?b692ed37

プラグインの詳細

深刻度: High

ID: 70705

ファイル名: sl_20131029_postgresql_and_postgresql84_on_SL5_x.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

ファミリー: Scientific Linux Local Security Checks

公開日: 2013/10/31

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 8.5

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:postgresql, p-cpe:/a:fermilab:scientific_linux:postgresql-contrib, p-cpe:/a:fermilab:scientific_linux:postgresql-debuginfo, p-cpe:/a:fermilab:scientific_linux:postgresql-devel, p-cpe:/a:fermilab:scientific_linux:postgresql-docs, p-cpe:/a:fermilab:scientific_linux:postgresql-libs, p-cpe:/a:fermilab:scientific_linux:postgresql-plperl, p-cpe:/a:fermilab:scientific_linux:postgresql-plpython, p-cpe:/a:fermilab:scientific_linux:postgresql-pltcl, p-cpe:/a:fermilab:scientific_linux:postgresql-server, p-cpe:/a:fermilab:scientific_linux:postgresql-test, p-cpe:/a:fermilab:scientific_linux:postgresql84, p-cpe:/a:fermilab:scientific_linux:postgresql84-contrib, p-cpe:/a:fermilab:scientific_linux:postgresql84-debuginfo, p-cpe:/a:fermilab:scientific_linux:postgresql84-devel, p-cpe:/a:fermilab:scientific_linux:postgresql84-docs, p-cpe:/a:fermilab:scientific_linux:postgresql84-libs, p-cpe:/a:fermilab:scientific_linux:postgresql84-plperl, p-cpe:/a:fermilab:scientific_linux:postgresql84-plpython, p-cpe:/a:fermilab:scientific_linux:postgresql84-pltcl, p-cpe:/a:fermilab:scientific_linux:postgresql84-python, p-cpe:/a:fermilab:scientific_linux:postgresql84-server, p-cpe:/a:fermilab:scientific_linux:postgresql84-tcl, p-cpe:/a:fermilab:scientific_linux:postgresql84-test, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2013/10/29

脆弱性公開日: 2013/2/13

参照情報

CVE: CVE-2013-0255, CVE-2013-1900