検出

Debian DLA-19-1:postgresql-8.4 更新

medium Nessus プラグイン ID 82167

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

新しい Upstream マイナーリリース。ユーザーは、次回に予定されたメンテナンスウインドウに、このバージョンにアップグレードしてください。

注目すべき変更:

一時ポストマスターの安全な Unix ドメインソケットを、make check 中に開始しました(Noah Misch 氏)

CVE-2014-0067 で以前に述べたように、ソケットファイルにアクセスできるローカルユーザーは、サーバーのブートストラップスーパーユーザーとして接続し、続いて、テストを実行しているオペレーティングシステムのユーザーとして、任意のコードを実行する可能性があります。この変更では、サーバーのソケットを /tmp のモード 0700 のサブディレクトリに一時的に配置することにより、そのリスクに備えています。

8.4.22 は、PostgreSQL 8.4 ブランチの最終版であることをお知らせします。PostgreSQL グローバル開発グループによるこれ以上のリリースはありません。

PostgreSQL 8.4 のユーザーは、最新の PostgreSQL リリースにアップグレードすることを検討してください。選択肢は次のとおりです:

- postgresql-9.1 を提供している Debian 7(Wheezy)へのアップグレード。

- すべてのアクティブな PostgreSQL ブランチ(これを書いている時点では 9.0 から 9.4)向けのパッケージを提供している、apt.postgresql.org リポジトリの使用。

リポジトリの詳細については、https://wiki.postgresql.org/wiki/Apt を参照してください。

リポジトリをアクティブにするヘルパースクリプトは、/usr/share/doc/postgresql-8.4/examples/apt.postgresql.org.sh で入手できます。

- squeeze-lts の有効期間を対象にするように、バージョン 8.4 の LTS が計画中です。おそらく、更新は最大限の努力を踏まえて行われます。ユーザーは、これを有効に利用できますが、これから数か月の間、最新バージョンの PostgreSQL にアップグレードすることを引き続き検討してください。

注:Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

https://lists.debian.org/debian-lts-announce/2014/07/msg00008.html

https://packages.debian.org/source/squeeze-lts/postgresql-8.4

https://wiki.postgresql.org/wiki/Apt

プラグインの詳細

深刻度: Medium

ID: 82167

ファイル名: debian_DLA-19.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2015/3/26

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.4

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libecpg-compat3, p-cpe:/a:debian:debian_linux:libecpg-dev, p-cpe:/a:debian:debian_linux:libecpg6, p-cpe:/a:debian:debian_linux:libpgtypes3, p-cpe:/a:debian:debian_linux:libpq-dev, p-cpe:/a:debian:debian_linux:libpq5, p-cpe:/a:debian:debian_linux:postgresql, p-cpe:/a:debian:debian_linux:postgresql-8.4, p-cpe:/a:debian:debian_linux:postgresql-client, p-cpe:/a:debian:debian_linux:postgresql-client-8.4, p-cpe:/a:debian:debian_linux:postgresql-contrib, p-cpe:/a:debian:debian_linux:postgresql-contrib-8.4, p-cpe:/a:debian:debian_linux:postgresql-doc, p-cpe:/a:debian:debian_linux:postgresql-doc-8.4, p-cpe:/a:debian:debian_linux:postgresql-plperl-8.4, p-cpe:/a:debian:debian_linux:postgresql-plpython-8.4, p-cpe:/a:debian:debian_linux:postgresql-pltcl-8.4, p-cpe:/a:debian:debian_linux:postgresql-server-dev-8.4, cpe:/o:debian:debian_linux:6.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/7/29

参照情報

CVE: CVE-2014-0067

BID: 65721