postgresql-8.1.21-1.1.0.1.AXS3

エラータID: AXSA:2010-289:01

リリース日: 
2010/05/28 Friday - 21:20
題名: 
postgresql-8.1.21-1.1.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- PostgreSQL には、スーパーユーザ権限によるインデックスの処理に不備があるため、権限を取得される脆弱性が存在します。
本脆弱性は CVE-2007-6600 および CVE-2009-3230 と関連があります。(CVE-2009-4136)

- PostgreSQL の backend/utils/adt/varbit.c の bitsubstr 関数には, 第三引数に負の整数を含む影響によって, リモートのユーザがサービス拒否 (デーモンのクラッシュ) を引き起こしたり, あるいは不明な影響を与える脆弱性があります。(CVE-2010-0442)

- PostgreSQL の src/backend/executor/nodeHash.c には整数オーバーフローが存在し, 多くの LEFT JOIN 句を含む SELECT 文によって, リモートの認証されたユーザがサービス拒否 (デーモンのクラッシュ) を引き起こす脆弱性があります。(CVE-2010-0733)

- PostgreSQL は 手続き言語 PL/perl を適切に制限しておらず, 巧妙に細工されたスクリプトによって, リモートの認証されたユーザがデータベースを作成できる権限で, 任意の Perl コードを実行する脆弱性があります。(CVE-2010-1169)

- PostgreSQL の PL/Tcl 実装はテーブルの所有者やパーミッションに関わらず, pltcl_modules テーブルから Tcl コードをロードしてしまう問題が存在し, 巧妙に細工された Tcl スクリプトによって, リモートの認証されたユーザがデータベースを作成できる権限で,任意の Tcl コードを実行できる脆弱性があります。(CVE-2010-1170)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2009-4136
PostgreSQL 7.4.x before 7.4.27, 8.0.x before 8.0.23, 8.1.x before 8.1.19, 8.2.x before 8.2.15, 8.3.x before 8.3.9, and 8.4.x before 8.4.2 does not properly manage session-local state during execution of an index function by a database superuser, which allows remote authenticated users to gain privileges via a table with crafted index functions, as demonstrated by functions that modify (1) search_path or (2) a prepared statement, a related issue to CVE-2007-6600 and CVE-2009-3230.
CVE-2010-0442
The bitsubstr function in backend/utils/adt/varbit.c in PostgreSQL 8.0.23, 8.1.11, and 8.3.8 allows remote authenticated users to cause a denial of service (daemon crash) or have unspecified other impact via vectors involving a negative integer in the third argument, as demonstrated by a SELECT statement that contains a call to the substring function for a bit string, related to an "overflow."
CVE-2010-0733
Integer overflow in src/backend/executor/nodeHash.c in PostgreSQL 8.4.1 and earlier, and 8.5 through 8.5alpha2, allows remote authenticated users to cause a denial of service (daemon crash) via a SELECT statement with many LEFT JOIN clauses, related to certain hashtable size calculations.
CVE-2010-1169
PostgreSQL 7.4 before 7.4.29, 8.0 before 8.0.25, 8.1 before 8.1.21, 8.2 before 8.2.17, 8.3 before 8.3.11, 8.4 before 8.4.4, and 9.0 Beta before 9.0 Beta 2 does not properly restrict PL/perl procedures, which allows remote authenticated users, with database-creation privileges, to execute arbitrary Perl code via a crafted script, related to the Safe module (aka Safe.pm) for Perl. NOTE: some sources report that this issue is the same as CVE-2010-1447.
CVE-2010-1170
The PL/Tcl implementation in PostgreSQL 7.4 before 7.4.29, 8.0 before 8.0.25, 8.1 before 8.1.21, 8.2 before 8.2.17, 8.3 before 8.3.11, 8.4 before 8.4.4, and 9.0 Beta before 9.0 Beta 2 loads Tcl code from the pltcl_modules table regardless of the table's ownership and permissions, which allows remote authenticated users, with database-creation privileges, to execute arbitrary Tcl code by creating this table and inserting a crafted Tcl script.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. postgresql-8.1.21-1.1.0.1.AXS3.src.rpm
    MD5: 36336eb02e4c7242937fe39ecbe32448
    SHA-256: 0d6bd478f003a9f5364cf654c999d182cc81d1f79b82d72fc31a2e15e80f9012
    Size: 16.80 MB

Asianux Server 3 for x86
  1. postgresql-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: f4e3eaa260e31128fc43c34026708d74
    SHA-256: e18e2f3e9aa120b506ad8b6c22f1b50e1f2272f060ae39f737b0f22ffe1dd492
    Size: 2.93 MB
  2. postgresql-contrib-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: 2dca0edc242cdfbeedc60b980408e4f6
    SHA-256: 5b049e551aec04d165d34a7ef8f8f57f0faf10b452ecbc9fd61b005f0ff90653
    Size: 455.88 kB
  3. postgresql-devel-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: 4086a3068861a194a68719de8cf2137c
    SHA-256: 43c5abe0083dd1476c7f65bfb217eea27c46ea3ca4f585fb37d33d28f4131432
    Size: 1.17 MB
  4. postgresql-docs-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: 239d41ffe24c87ee5e4ce1d1c8705e09
    SHA-256: b605c1d271a75b218db66213052883e8706344ad5ee89fddf45061891b434f0b
    Size: 5.58 MB
  5. postgresql-libs-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: ff4b138c8394cfdcd263872686f66e89
    SHA-256: ceeb7c57f969fd1527fe436d3e770332a8043469f2501ff250c9668100654eee
    Size: 200.90 kB
  6. postgresql-pl-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: cb409a8215d089c0f5773e0a720bd7c8
    SHA-256: e7663b26cb01ba09bf3b316f0329711c7e92db2db998644f1c70eeacfd1ce53d
    Size: 72.55 kB
  7. postgresql-python-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: b9bef59f2b80955a15a5fd0489f2df88
    SHA-256: a487b0862946046264c2cbf73c9470243bcf46103ba4c77e01a14f9e6b51bf26
    Size: 54.88 kB
  8. postgresql-server-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: 9c19d584d4bc4145d98428736df39515
    SHA-256: 897ff60c300cff47fb097002e68d86bb0fc0681baae77f0bf3f6ba1d967d4f4f
    Size: 3.92 MB
  9. postgresql-tcl-8.1.21-1.1.0.1.AXS3.i386.rpm
    MD5: c9d84787a3cbe0951d5678035ab2e3a2
    SHA-256: f6a292e1eb93cc24016feceb756e43dd7e8a04b1e62150f6e3e8969651a8c9d6
    Size: 83.09 kB

Asianux Server 3 for x86_64
  1. postgresql-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: 768820e59f80b548b34b58baaf255b8b
    SHA-256: 4f1e2da73e525c69fb5f51b05d7f4a08b46c364e2a03b48fef9e47930f3154ad
    Size: 2.96 MB
  2. postgresql-contrib-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: fcaa731ba9e7039b4baca2c66298ec3e
    SHA-256: f9e942ba03780e5be425d2f14f57f55167c9504452b59cef28365616689d0800
    Size: 461.75 kB
  3. postgresql-devel-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: fae790ea54dcaf4ade89161379047103
    SHA-256: 00c09d39870ac2283f733e962bc15bd8d3f4ffdc2ffdde11d50c5bfa1b8e63c6
    Size: 1.21 MB
  4. postgresql-docs-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: d3391dd760973fa93e7ab078ea6d4ae1
    SHA-256: bc6e7aed6c3e06ea2780505caee402620e3348c51a2eb3ccee18241995535ec7
    Size: 5.58 MB
  5. postgresql-libs-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: 8b3264596d1e94b8a6e1a889e81227f9
    SHA-256: 62c0c9a3801c50424aa789948930a4015e723639abc5b5ff10ac0ba938e4876d
    Size: 200.72 kB
  6. postgresql-pl-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: 6a5a6730638e75024400d671f56e0039
    SHA-256: f964e5baee569e65398a43b631e337acc586e59ff7ec4b94de551e9d38d9ebfc
    Size: 74.73 kB
  7. postgresql-python-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: a16caafec32a0cd4b1288212f942e8a3
    SHA-256: 0b02632e50673839c0eb734e5e68dbe92562036a68d0e04de9664a80cac8d7c8
    Size: 56.34 kB
  8. postgresql-server-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: 972ea05674b3915a3073684ccdef8a32
    SHA-256: 36c0fc40385a64c177519926140bd58e958a1fdc7e3b9e570ead39197e062f89
    Size: 3.98 MB
  9. postgresql-tcl-8.1.21-1.1.0.1.AXS3.x86_64.rpm
    MD5: b85f4357ca0136e46e0da6068fb13490
    SHA-256: 239bbb5990a180c4c417e39a5985b91214e883b33426e85534ee1519efcd28fc
    Size: 84.37 kB