AXSA:2021-1513:01

リリース日: 
2021/02/20 Saturday - 03:47
題名: 
postgresql:9.6 security update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]

- PostgreSQLには、実行計画作成時に特定カラムの統計情報を調査する前に、
行セキュリティーポリシーの評価をしないため、攻撃者が(SELECTの実行権限を
持ち、かつ行レベルのセキュリティーが攻撃者から見える行のセットを切り詰める
特定カラムの最頻値を読み取れてしまう脆弱性があります。(CVE-2019-10130)

- PostgreSQLには、適切なSECURITY DEFINER関数が与えられると任意の SQL
文を実行できる問題があるため、実行権限を持つ攻撃者が関数のオーナーとして
任意の SQL を実行できる脆弱性があります。(CVE-2019-10208)

- PostgreSQLには、拡張機能がインストールスクリプトの中で search_path を
安全に使わないため、十分な権限を持つ攻撃者が管理者を欺いて特別に細工された
スクリプトをインストール時やアップデート時に実行させることが可能な脆弱性が
あります。(CVE-2020-14350)

- PostgreSQLには、"ALTER ... DEPENDS ON EXTENSION" において
サブコマンドが権限のチェックを行わないため、認証された攻撃者が特定の設定の
中でオブジェクトをドロップし、データベース破壊へ導くことができる脆弱性が
あります。(CVE-2020-1720)

- PostgreSQLには、追加的なデータベースコネクションを作成するクライアント
アプリケーションがセキュリティ関連のパラメーター無しに基本的な接続パラメーター
のみを再使用する場合、中間者攻撃や平文通信の観察の機会を攻撃者に与えてしまう
脆弱性があります。 (CVE-2020-25694)

- PostgreSQLには、少なくとも1つのスキーマ内にテンポラリーではない
オブジェクトを作る権限を持つ攻撃者が、任意のSQL関数をスーパーユーザー
として実行できてしまう脆弱性があります。(CVE-2020-25695)

- PostgreSQLには、インタラクティブな端末セッションが \gset を使う時、
攻撃者が任意のコードを psql を動かしているOSアカウントで動かしてしまう
脆弱性があります。(CVE-2020-25696)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. postgresql-9.6.20-1.module+el8+1188+d582690e.src.rpm
    MD5: 5899d34e166c1afee19e6902e963006e
    SHA-256: 05ed8a16bc84f0ab662c6637e4da6a6dc4f86a8345ee4b9df5dbeff0f98ec577
    Size: 24.40 MB

Asianux Server 8 for x86_64
  1. postgresql-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: b756b5584c7eed80e7226d910e779cb3
    SHA-256: e89424462f58112c6599c5f9deff170ff0cadcbcb9bb8d6d9378e7c877945315
    Size: 1.39 MB
  2. postgresql-contrib-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: 67eb3df12c90a34416a1e30e80dfbf2e
    SHA-256: b8ce9e9bb642fb2c2a71bbc55124f65b88c8a02be2d55fd183425f0a67d5a101
    Size: 751.84 kB
  3. postgresql-debugsource-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: a6ef0abf672cb925b90aafd8c1cf26ef
    SHA-256: 7322b94d9f679bc288766e337f5f1e738f1be8e635f32a945c72bba3869d8411
    Size: 8.04 MB
  4. postgresql-docs-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: f56466d2147fc59b281a6e7546bbd586
    SHA-256: a06e8df30657943e735f56008e8c5ab903e30918386dc6191dbb746cda168ad4
    Size: 8.32 MB
  5. postgresql-plperl-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: 60e5eb06f2932f64afa32c6a7fe10e94
    SHA-256: 865fc18eb6a822bfe0b5867be1b17990d3719482d307bed7f9c2b580b8d02e68
    Size: 100.14 kB
  6. postgresql-plpython3-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: 50e573b6476ecbdd8440954e5fa9244e
    SHA-256: 1de5caad2deffd4267cfee9f9d03bfc0bbae8a3c9fed0b90498ee77a0bf4be75
    Size: 115.64 kB
  7. postgresql-pltcl-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: 6628b9c1371be74174b933f34bb84ddc
    SHA-256: 6dfdec47c82bce422bc1fbcbb0ccb35eda208e9d5956baf3e807c39488b7c0fa
    Size: 79.38 kB
  8. postgresql-server-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: 90c9d8d809d1e872e822ef1b52cf754d
    SHA-256: 8619d8da838e7ee7335f247b6277a447ef8fb2346b1f29f4f5831debcd567254
    Size: 4.96 MB
  9. postgresql-server-devel-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: 3607d73a59429a896be6c439bfd0c0d6
    SHA-256: 5d970dfacee3edad0ab4d1e2edadb819b669e7c66645ebba835610a4ca89c450
    Size: 1.00 MB
  10. postgresql-static-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: 34237c7b993bfbcd12c03495c120201d
    SHA-256: 228adb295247b2f496afe6d67f8a2c14b896e4ca7b3c792d1925640f300abe3d
    Size: 90.07 kB
  11. postgresql-test-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: ede56e02114cfd13a8f93b094f35987e
    SHA-256: 7b6e007eae54cdeadaf2cedd5556b5ab02379928c5b9b53e7fb6d96c0b6fcd55
    Size: 1.55 MB
  12. postgresql-test-rpm-macros-9.6.20-1.module+el8+1188+d582690e.x86_64.rpm
    MD5: 6c8d370942bd953626f40e11e257ae4d
    SHA-256: 6b38c923643daf00caa70658d6a57a6f81f319517828617cd2162d4646fdf159
    Size: 47.14 kB
Copyright© 2007-2015 Asianux. All rights reserved.