postgresql:12 security update

エラータID: AXSA:2024-7394:01

リリース日: 
2024/01/15 Monday - 12:33
題名: 
postgresql:12 security update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- PostgreSQL の拡張スクリプト機能には、ドル記号、クォート
記号、ダブルクォート記号などを用いた引用句内で @extowner@、
@extschema@、または @extschema:...@ を使用した場合、
SQL インジェクションが可能となる問題があるため、データ
ベース上で CREATE 句の実行が可能なリモートの攻撃者により、
細工された拡張機能のインストールを介して、特権昇格、および
任意のコードの実行を可能とする脆弱性が存在します。
(CVE-2023-39417)

- PostgreSQL の特定の集計関数には、リモートの攻撃者により、
型を指定していない文字列リテラルからの値の処理を介して、
情報の漏洩を可能とする脆弱性が存在します。(CVE-2023-5868)

- PostgreSQL には、SQL の配列変数の更新処理における整数
オーバーフローの問題があるため、認証されたリモートの攻撃者
により、細工されたデータを介して、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2023-5869)

- PostgreSQL の pg_cancel_backend ロールには、認証された
リモートの攻撃者により、細工された耐性の低いノンコア拡張
機能を介して、サービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2023-5870)

Modularity name: postgresql
Stream name: 12

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-39417
IN THE EXTENSION SCRIPT, a SQL Injection vulnerability was found in PostgreSQL if it uses @extowner@, @extschema@, or @extschema:...@ inside a quoting construct (dollar quoting, '', or ""). If an administrator has installed files of a vulnerable, trusted, non-bundled extension, an attacker with database-level CREATE privilege can execute arbitrary code as the bootstrap superuser.
CVE-2023-5868
A memory disclosure vulnerability was found in PostgreSQL that allows remote users to access sensitive information by exploiting certain aggregate function calls with 'unknown'-type arguments. Handling 'unknown'-type values from string literals without type designation can disclose bytes, potentially revealing notable and confidential information. This issue exists due to excessive data output in aggregate function calls, enabling remote users to read some portion of system memory.
CVE-2023-5869
A flaw was found in PostgreSQL that allows authenticated database users to execute arbitrary code through missing overflow checks during SQL array value modification. This issue exists due to an integer overflow during array modification where a remote user can trigger the overflow by providing specially crafted data. This enables the execution of arbitrary code on the target system, allowing users to write arbitrary bytes to memory and extensively read the server's memory.
CVE-2023-5870
A flaw was found in PostgreSQL involving the pg_cancel_backend role that signals background workers, including the logical replication launcher, autovacuum workers, and the autovacuum launcher. Successful exploitation requires a non-core extension with a less-resilient background worker and would affect that specific background worker only. This issue may allow a remote high privileged user to launch a denial of service (DoS) attack.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. pgaudit-1.4.0-5.module+el8+1709+e155f4b5.src.rpm
    MD5: b30bbb5d89b1cfe928fa322e53af8a26
    SHA-256: 2c23bf35140887ffff22640d846fa66863e5b93ab3ba89747fcf84a49d025a27
    Size: 42.07 kB
  2. pg_repack-1.4.6-3.module+el8+1709+e155f4b5.src.rpm
    MD5: a4ab475edc8d6753ebd6c30a16a65037
    SHA-256: c29640d0635c5fa7f573652de1ce6a0b71515cf01494bd57856e7ec56c1b4005
    Size: 100.99 kB
  3. postgres-decoderbufs-0.10.0-2.module+el8+1709+e155f4b5.src.rpm
    MD5: 9668506a50d0b286a1f28738eef1f9fe
    SHA-256: 95ace8797f36653e8b519ec7307c3d8cdb96ea6c562f3911cb117a1ebee29295
    Size: 21.13 kB
  4. postgresql-12.17-1.module+el8+1709+e155f4b5.src.rpm
    MD5: 4e965be78b30c804365f9d1b69f800c1
    SHA-256: 407e1f6a618f43bf384da587d176f56a36f1d6a1049e8e4e0c72560bedbdb5cc
    Size: 46.59 MB

Asianux Server 8 for x86_64
  1. pgaudit-1.4.0-5.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: 7de2a2342beba6144be3db08b23852d3
    SHA-256: 8a3e61972b43362990911bda7398fdd6b5b8d67bc6fd0b85090b4257520b6d41
    Size: 26.88 kB
  2. pgaudit-debugsource-1.4.0-5.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: 915db298e2eab46b54d6d478e6365c63
    SHA-256: a8186f355577dab0178aa526adffec3f8ee6d5bcbe05af0f106b778763545454
    Size: 22.80 kB
  3. pg_repack-1.4.6-3.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: cc8a31302fb5a5ddae13af7851a0cfe1
    SHA-256: ba468829e267564e46704ca3decae2e3215081954cb1c6a395494ebe888e2d06
    Size: 89.19 kB
  4. pg_repack-debugsource-1.4.6-3.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: 8ad9d0d675fba713d113eb53ddc01ea7
    SHA-256: afbc33f990748e9ce5ff56f524b161f24b621096358cb55310675ce6f9c0d901
    Size: 49.69 kB
  5. postgres-decoderbufs-0.10.0-2.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: ddc26e6fa7028aec40319eb488d5c5f2
    SHA-256: 325f01652f766af556ba4e147de101929ad7aa798b300bef23365f6072cd2bbb
    Size: 21.83 kB
  6. postgres-decoderbufs-debugsource-0.10.0-2.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: ca03cc8530735c0b7ea61578677e8586
    SHA-256: 73d7fe8c90491f7f4cc5c63326ba8d7579b9e4e261d052494b22815ff5bbfbdb
    Size: 16.81 kB
  7. postgresql-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: 37cd3b65d5ef1588ca8e1bbbcb782acd
    SHA-256: d1fe90c235585a124b2efcef2266bc499911c9dc654a963bfb5b6bf261126ee6
    Size: 1.50 MB
  8. postgresql-contrib-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: d127d852cb7e67d571339d16e6f80108
    SHA-256: 1f9c9738be1ba1c75c0ebb1e199326cdf42b7da7779a2981240627a8a68356da
    Size: 874.14 kB
  9. postgresql-debugsource-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: 2b1b6db1b9d10b57e780268169034319
    SHA-256: fbb18adb2812f117a40bcf648c95165e2954ec2691d66634feffb8b429adbe87
    Size: 16.96 MB
  10. postgresql-docs-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: 11a6e8223ec3fc24882c863700326f29
    SHA-256: a16278813cf161f86bec745aee132d3fd71dffaf4cf13319fce59a29e51a295a
    Size: 9.82 MB
  11. postgresql-plperl-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: a67944871a52d2a41d03594dfe711330
    SHA-256: eae521d5bbfc8f332e408861ddff7a27015b62a1f0d0f03c4bf932f61cb71e2d
    Size: 109.55 kB
  12. postgresql-plpython3-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: cb1ae65f2ef6cd7ea4af49bd9e9cc7aa
    SHA-256: d867d123e6946dfefb4531d02278f6c093fa9079ea12eec2309c14ca745f1243
    Size: 129.64 kB
  13. postgresql-pltcl-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: 40b551f73efc746ff843727f08b625d7
    SHA-256: 4de550f4dc74c431348ae59c8dcf43392586af563814d315673849f0319f71ee
    Size: 84.92 kB
  14. postgresql-server-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: da110a92f4b1797845f3bf1a8c63b847
    SHA-256: 7ca6e7edd7317dbd3286f3978789f7be52ee198fd6a0bd60bdcf757996c5df8e
    Size: 5.55 MB
  15. postgresql-server-devel-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: 8ae4ed31b31ba2ac7e1f80390fd17f15
    SHA-256: 33523db4daf90cf37aa798c76f44d4b26b8a6c9056555974b4eee92b1cf38e6f
    Size: 1.22 MB
  16. postgresql-static-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: eeec22a79577bf9dfc91c61592f67905
    SHA-256: 0a568ff22b4bd3bd853ae89d4ec3777857107954393cb9a117dd783ca123cd63
    Size: 167.22 kB
  17. postgresql-test-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: d92852a644d0a1e10fd1c689c447b26e
    SHA-256: afefa632eb4f186e00f55ebd5c4fb4e8bb76d025fb3cd59bdf9b42d071ae7321
    Size: 1.95 MB
  18. postgresql-test-rpm-macros-12.17-1.module+el8+1709+e155f4b5.noarch.rpm
    MD5: b6fe4d40a47201e53403c6fef8221d86
    SHA-256: 4e606dda3aafe88244164c24e80c7b556f94605dddc223775eec6d2a4f4456c1
    Size: 52.87 kB
  19. postgresql-upgrade-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: eebd5a0b159d9fe6b2b41918b88096cc
    SHA-256: 3e25505839a1d9745b455e2a550dc0169be5645cfc9f01840e6e88e15953eb18
    Size: 4.07 MB
  20. postgresql-upgrade-devel-12.17-1.module+el8+1709+e155f4b5.x86_64.rpm
    MD5: d1f1a0351888ea65a31f57f20c907387
    SHA-256: fd93d4fd397561fd8f324a321bb78f68c55646f0336f37683dfa2262a2588a26
    Size: 1.13 MB