Debian DLA-491-1:postgresql-9.1 バグ修正の更新
high Nessus プラグイン ID 91358
Language:
概要
リモートの Debian ホストにセキュリティ更新がありません。説明
PostgreSQL プロジェクトは、新しいバージョンの PostgreSQL 9.1 ブランチをリリースしました:- OpenSSL のエラーキューがすでに消去済みであると想定するのではなく、OpenSSL を呼び出す前にそれを消去し、その後は必ず消去したままにしておきます(Peter Geoghegan 氏、Dave Vitek 氏、Peter Eisentraut 氏)
この変更では、1 つのプロセス内に OpenSSL を使用している接続が複数ある場合の問題、そして関連するすべてのコードがエラーキューを消去するタイミングに関して同じルールに従っているとは限らない場合の問題を防ぎます。クライアントアプリケーションが、OpenSSL 用の PHP、Python、または Ruby のラッパーを使用している SSL 接続と同時に、libpq で SSL 接続を使用する場合、失敗が具体的に報告されています。拡張モジュールが発信 SSL 接続を確立する場合に、サーバー内でも同じような問題が発生する可能性があります。
- 左側の join の右側に完全な join を入れることで、「failed to build any N-way joins」プランナーエラーを修正します(Tom Lane 氏)
- to_timestamp() で、TH、th、および Y,YYY の書式コードの起こり得る誤動作を修正します(Tom Lane 氏)
これらは、入力文字列の終端の先まで進めてしまう可能性があるため、それに続く書式コードに不要なデータを読み取らせることになります。
- 値演算子 ANY(配列)コンストラクトの配列引数が sub-SELECT である、ルールとビューのダンピングを修正します(Tom Lane 氏)
- PGCTLTIMEOUT 環境変数が設定されている場合は、この変数によるスタートアップタイムアウトを pg_regress に使用させるようにします(Tom Lane 氏)
これは、pg_ctl に最近追加された動作との一貫性のためであり、低速のマシンでテストが自動化しやすくなります。
- pg_upgrade を修正して、1 つだけの演算子クラスを含む演算子ファミリー向けの拡張子メンバーシップを適切に復元するようにします(Tom Lane 氏)
このような場合、演算子ファミリーは新しいデータベースに復元されましたが、拡張子の一部としてすでにマークされませんでした。これには差し迫った悪影響はありませんでしたが、後に pg_dump を実行すると、復元時に(実害のない)エラーを引き起こすような出力を吐き出していました。
- 内部関数 strtoi() の名前を strtoint() に変更して、NetBSD ライブラリの関数との競合を回避します(Thomas Munro 氏)
- 必要に応じて、FORMAT_MESSAGE_IGNORE_INSERTS フラグを使用します。ここには存在がわかっているライブバグはありませんが、注意することが好ましいです。
Debian 7「Wheezy」では、これらの問題はバージョン 9.1.22-0+deb7u1 で修正されました。
お使いの postgresql-9.1 パッケージをアップグレードすることを推奨します。
注:Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるパッケージをアップグレードしてください。参考資料
https://lists.debian.org/debian-lts-announce/2016/05/msg00044.html
プラグインの詳細
深刻度: High
ID: 91358
ファイル名: debian_DLA-491.nasl
バージョン: 2.3
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2016/5/31
更新日: 2021/1/11
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:libecpg-compat3, p-cpe:/a:debian:debian_linux:libecpg-dev, p-cpe:/a:debian:debian_linux:libecpg6, p-cpe:/a:debian:debian_linux:libpgtypes3, p-cpe:/a:debian:debian_linux:libpq-dev, p-cpe:/a:debian:debian_linux:libpq5, p-cpe:/a:debian:debian_linux:postgresql-9.1, p-cpe:/a:debian:debian_linux:postgresql-9.1-dbg, p-cpe:/a:debian:debian_linux:postgresql-client-9.1, p-cpe:/a:debian:debian_linux:postgresql-contrib-9.1, p-cpe:/a:debian:debian_linux:postgresql-doc-9.1, p-cpe:/a:debian:debian_linux:postgresql-plperl-9.1, p-cpe:/a:debian:debian_linux:postgresql-plpython-9.1, p-cpe:/a:debian:debian_linux:postgresql-plpython3-9.1, p-cpe:/a:debian:debian_linux:postgresql-pltcl-9.1, p-cpe:/a:debian:debian_linux:postgresql-server-dev-9.1, cpe:/o:debian:debian_linux:7.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
パッチ公開日: 2016/5/27