postgresql-13.13-1.el9_3

エラータID: AXSA:2023-7047:07

リリース日: 
2023/12/21 Thursday - 03:28
題名: 
postgresql-13.13-1.el9_3
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- PostgreSQL の拡張スクリプト機能には、ドル記号、クォート
記号、ダブルクォート記号などを用いた引用句内で @extowner@、
@extschema@、または @extschema:...@ を使用した場合、SQL
インジェクションが可能となる問題があるため、データベース上で
CREATE 句の実行が可能なリモートの攻撃者により、細工された
拡張機能のインストールを介して、特権昇格、および任意のコード
の実行を可能とする脆弱性が存在します。(CVE-2023-39417)

- PostgreSQL の特定の集計関数には、リモートの攻撃者により、
型を指定していない文字列リテラルからの値の処理を介して、
情報の漏洩を可能とする脆弱性が存在します。(CVE-2023-5868)

- PostgreSQL には、SQL の配列変数の更新処理における整数
オーバーフローの問題があるため、認証されたリモートの攻撃者
により、細工されたデータを介して、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2023-5869)

- PostgreSQL の pg_cancel_backend ロールには、認証された
リモートの攻撃者により、細工された耐性の低いノンコア拡張
機能を介して、サービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2023-5870)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-39417
IN THE EXTENSION SCRIPT, a SQL Injection vulnerability was found in PostgreSQL if it uses @extowner@, @extschema@, or @extschema:...@ inside a quoting construct (dollar quoting, '', or ""). If an administrator has installed files of a vulnerable, trusted, non-bundled extension, an attacker with database-level CREATE privilege can execute arbitrary code as the bootstrap superuser.
CVE-2023-5868
A memory disclosure vulnerability was found in PostgreSQL that allows remote users to access sensitive information by exploiting certain aggregate function calls with 'unknown'-type arguments. Handling 'unknown'-type values from string literals without type designation can disclose bytes, potentially revealing notable and confidential information. This issue exists due to excessive data output in aggregate function calls, enabling remote users to read some portion of system memory.
CVE-2023-5869
A flaw was found in PostgreSQL that allows authenticated database users to execute arbitrary code through missing overflow checks during SQL array value modification. This issue exists due to an integer overflow during array modification where a remote user can trigger the overflow by providing specially crafted data. This enables the execution of arbitrary code on the target system, allowing users to write arbitrary bytes to memory and extensively read the server's memory.
CVE-2023-5870
A flaw was found in PostgreSQL involving the pg_cancel_backend role that signals background workers, including the logical replication launcher, autovacuum workers, and the autovacuum launcher. Successful exploitation requires a non-core extension with a less-resilient background worker and would affect that specific background worker only. This issue may allow a remote high privileged user to launch a denial of service (DoS) attack.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. postgresql-13.13-1.el9_3.src.rpm
    MD5: 2e86d784dc7532b6360467243fbb424a
    SHA-256: b5a157ee865fbbefe8cc7b5405386601bc5b2d888803155854c7b5873a4c485c
    Size: 48.47 MB

Asianux Server 9 for x86_64
  1. postgresql-13.13-1.el9_3.x86_64.rpm
    MD5: a82a396f4c60c08ea5918c6c086f142c
    SHA-256: eb9383ca507810a9b61f69218068fa8fd29cde5d9ba46cbb43ecc2e986fb2a11
    Size: 1.52 MB
  2. postgresql-contrib-13.13-1.el9_3.x86_64.rpm
    MD5: 6417a465aced86aa107a677f853034a9
    SHA-256: 1f53b303edb62e8d604964a3e25dd5c6dcde3412948740fd02a4be9936d81e53
    Size: 810.18 kB
  3. postgresql-docs-13.13-1.el9_3.x86_64.rpm
    MD5: fb0e90097842c8832309fbe476730968
    SHA-256: 9ddc6e4fb02d5c87c5f332908e78208dfa0db1d7f4ffcfe5602e3fcf4de611cc
    Size: 9.26 MB
  4. postgresql-plperl-13.13-1.el9_3.x86_64.rpm
    MD5: b1145ed1e480d58bd9d35488331091a4
    SHA-256: 4193e55df21472e03eada75f25e6aef577414bcd9c32d1a8f6a5f31a111bce4f
    Size: 67.51 kB
  5. postgresql-plpython3-13.13-1.el9_3.x86_64.rpm
    MD5: 006e073216c6c3e5b51cd7b164021fc9
    SHA-256: f9c90a0c5364c341929333bfabbc947334f99e09f43e3d728043fa23261f6844
    Size: 88.55 kB
  6. postgresql-pltcl-13.13-1.el9_3.x86_64.rpm
    MD5: b97bcc65967a46420841c875330b31a2
    SHA-256: c2df1b2d997f144cbfe56cb3ea25bf7f568246259ea6e5850534229cadcc4bd4
    Size: 42.65 kB
  7. postgresql-private-devel-13.13-1.el9_3.x86_64.rpm
    MD5: 3975cc6f90a377a65d68410fc56d2364
    SHA-256: f18be2c6cab3f5dc9335c8dbac23b90849075004c9d8aa3c229f1a6f655eb8dc
    Size: 57.93 kB
  8. postgresql-private-libs-13.13-1.el9_3.x86_64.rpm
    MD5: 0e0cb5c58478d64d558d891f657ab842
    SHA-256: 7128482986454f842601879f2b17252947b848a362730e4f7d2c8148e98706cc
    Size: 132.01 kB
  9. postgresql-server-13.13-1.el9_3.x86_64.rpm
    MD5: 030d7076f78debdf21dc9683e9db613f
    SHA-256: 924c888a827112937153558147fef77eb29d211089c8eb4f07cc27eae9e60d56
    Size: 5.71 MB
  10. postgresql-server-devel-13.13-1.el9_3.x86_64.rpm
    MD5: cd3e596008c17370c92c6a18754a8e00
    SHA-256: 0c517b2d5edac95e4c67567b5c23eda94614f1b9ab18dc1b2dbac86ebc59b4d4
    Size: 1.11 MB
  11. postgresql-static-13.13-1.el9_3.x86_64.rpm
    MD5: 4e842f1d071da4e3f66e87e66231cc6a
    SHA-256: 27703cb8bc84d1f3a733b27bb5e0a17fa8a10562faf8f2fb7911e315f31761b5
    Size: 144.24 kB
  12. postgresql-test-13.13-1.el9_3.x86_64.rpm
    MD5: 070ab45edfe17f84ef614449928b1998
    SHA-256: 3b0c75e443aa50a26fbbbb3bb8f9971a1c02c6fe632136f366ec4a227e45a6bb
    Size: 1.41 MB
  13. postgresql-upgrade-13.13-1.el9_3.x86_64.rpm
    MD5: e39312d2cd4de813672f2cd18c6d2f4d
    SHA-256: 7154556ced55b77e8a09f85093ae25cefae78d5212a1d9056434105e6ecc50cc
    Size: 4.57 MB
  14. postgresql-upgrade-devel-13.13-1.el9_3.x86_64.rpm
    MD5: b826c8b3c1b3a9a6a4352e189300904c
    SHA-256: ddca721ec5be42019153294212f1b32e89c8c3c84f683b8c91d237af887686b1
    Size: 1.02 MB