postgresql-8.1.23-10.0.1.AXS3

エラータID: AXSA:2014-235:01

リリース日: 
2014/04/10 Thursday - 18:57
題名: 
postgresql-8.1.23-10.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- PostgreSQL は ADMIN OPTION 制限を適切に強制しておらず,関連する GRANT コマンドの前に SET ROLE コマンドを呼び出すことによって,リモートの認証されたロールのメンバが任意のユーザにそのロールを追加あるいは削除する脆弱性があります。(CVE-2014-0060)

- PostgreSQL の手続き型言語 (PLs) の validator 関数には,(1) 他の言語によって定義された関数,あるいは (2) 権限のためユーザによって直接呼び出されることが許可されていない関数によって,リモートの認証されたユーザが権限を得る脆弱性があります。(CVE-2014-0061)

- PostgreSQL の (1) CREATE INDEX と (2) 不特定の ALTER TABLE コマンドに競合条件が存在し,タイミングウィンドウの間に同じ名前を持つテーブルを作成あるいは削除することによって,リモートの認証されたユーザが権限のないインデックスを作成する,あるいは権限のないテーブルのポーションを読み込む脆弱性があります。(CVE-2014-0062)

- PostgreSQL には 複数のスタックベースのバッファーオーバーフローが存在し,誤った MAXDATELEN 定数と,(1) intervals, (2) timestamps, (3) timezones を含む日付と時刻値に関連する要因によって,リモートの認証されたユーザがサービス拒否 (クラッシュ) を引き起こしたり,任意のコードを実行する可能性のある脆弱性があります。
この脆弱性は CVE-2014-0065 とは異なる脆弱性です。(CVE-2014-0063)

- Postgresql の path_in と他の不特定の関数には複数の整数オーバーフローが存在し,リモートの認証されたユーザがバッファーオーバーフローのきっかけとなる詳細不明の影響と攻撃経路を持つ脆弱性があります。
注:この識別子は異なった影響を受けるバージョンのため分割されました。hstore vector 用に CVE-2014-2669 を使用してください。(CVE-2014-0064)

- PostgreSQL には複数のバッファーオーバーフローが存在し,リモートの認証されたユーザが詳細不明の影響と攻撃経路を持つ脆弱性があります。
この脆弱性は CVE-2014-0063 とは異なる脆弱性です。(CVE-2014-0065)

- PostgreSQL の chkpass エクステンションは適切に crypt ライブラリからの戻り値を適切にチェックしておらず,リモートの認証されたユーザがサービス拒否 (ヌルポインタ逆参照とクラッシュ) を引き起
こす脆弱性があります。(CVE-2014-0066)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2014-0060
PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9.2.x before 9.2.7, and 9.3.x before 9.3.3 does not properly enforce the ADMIN OPTION restriction, which allows remote authenticated members of a role to add or remove arbitrary users to that role by calling the SET ROLE command before the associated GRANT command.
CVE-2014-0061
The validator functions for the procedural languages (PLs) in PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9.2.x before 9.2.7, and 9.3.x before 9.3.3 allow remote authenticated users to gain privileges via a function that is (1) defined in another language or (2) not allowed to be directly called by the user due to permissions.
CVE-2014-0062
Race condition in the (1) CREATE INDEX and (2) unspecified ALTER TABLE commands in PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9.2.x before 9.2.7, and 9.3.x before 9.3.3 allows remote authenticated users to create an unauthorized index or read portions of unauthorized tables by creating or deleting a table with the same name during the timing window.
CVE-2014-0063
Multiple stack-based buffer overflows in PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9.2.x before 9.2.7, and 9.3.x before 9.3.3 allow remote authenticated users to cause a denial of service (crash) or possibly execute arbitrary code via vectors related to an incorrect MAXDATELEN constant and datetime values involving (1) intervals, (2) timestamps, or (3) timezones, a different vulnerability than CVE-2014-0065.
CVE-2014-0064
Multiple integer overflows in the path_in and other unspecified functions in PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9.2.x before 9.2.7, and 9.3.x before 9.3.3 allow remote authenticated users to have unspecified impact and attack vectors, which trigger a buffer overflow. NOTE: this identifier has been SPLIT due to different affected versions; use CVE-2014-2669 for the hstore vector.
CVE-2014-0065
Multiple buffer overflows in PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9.2.x before 9.2.7, and 9.3.x before 9.3.3 allow remote authenticated users to have unspecified impact and attack vectors, a different vulnerability than CVE-2014-0063.
CVE-2014-0066
The chkpass extension in PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9.2.x before 9.2.7, and 9.3.x before 9.3.3 does not properly check the return value of the crypt library function, which allows remote authenticated users to cause a denial of service (NULL pointer dereference and crash) via unspecified vectors.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. postgresql-8.1.23-10.0.1.AXS3.src.rpm
    MD5: cd07f66691c136c19f4243b09810d08a
    SHA-256: 619d5869b019d3bc72efff2550e1351735c0dec8a2f50ab7b5175deecc25f38a
    Size: 16.84 MB

Asianux Server 3 for x86
  1. postgresql-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: 872bbc9a113af310a476f956bb317060
    SHA-256: a04d118fecc7432c51b6a90883c504b7eac88f2b326c4ee0b690f46224c72199
    Size: 2.92 MB
  2. postgresql-contrib-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: 2322f3a4d360f8db43897e28d482e3c6
    SHA-256: d3c913ebb949d1b021379ecfca156a563117a4d7f30b35c5b926f7ab21c15858
    Size: 454.89 kB
  3. postgresql-devel-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: c2d4626c1e00ad93f8f785a1c169e4b0
    SHA-256: 1900e1adb358f5e1d4a31a944e32a3c03fe9e447bc392b0b85d552036e1f5eb6
    Size: 1.17 MB
  4. postgresql-docs-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: ea8a64b7c20a726728167c8f4963eba6
    SHA-256: b9715d311f56f50c2389b11d9f00cb4b0251442743067cd5265fb22331fcf402
    Size: 5.58 MB
  5. postgresql-libs-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: ca508fd8bafa86cb36c1fee8ab421f94
    SHA-256: d8477bded03d7c0e24facf8d9282dc833c8894a967771f1b427fb4db30b6b351
    Size: 201.28 kB
  6. postgresql-pl-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: cbb917b9556b41b471d081ae681e2d1b
    SHA-256: 0a13fbcb57cd1090f96a517107ec86d068b9d7651a1b2db7fc64d0ebe8489a26
    Size: 73.72 kB
  7. postgresql-python-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: 48d2bdd44fdd7b66ee46248b66cfacd0
    SHA-256: d910624f2ad020ef5361a2ba50121dda0e8d9ef9fa182a37d1edadab0124d34f
    Size: 55.87 kB
  8. postgresql-server-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: 034c3bb61a82ac6cba86c1eb335f19e0
    SHA-256: dd4e3629edd888ffb90ad7e8de5391a9170b7d56cd6a0d9beefc37be13bedfee
    Size: 3.93 MB
  9. postgresql-tcl-8.1.23-10.0.1.AXS3.i386.rpm
    MD5: ba9bb147f5b8d2771686b1d7702055a6
    SHA-256: 8401f696535e1705f53ead0017f4ab04de3bcfc61bf521abab97861f7830dfd4
    Size: 82.73 kB

Asianux Server 3 for x86_64
  1. postgresql-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: ab6f7851d0f093629fe3bc3723053d49
    SHA-256: a8bd82c8974572486a324fcc91bd5892823de4c1ec51735b0e5c20be3cb90bcd
    Size: 2.95 MB
  2. postgresql-contrib-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: bd98b774a0107ae53beca8acb38c4dd7
    SHA-256: 41643821391746711107ffbf21d01078040b617bae13572bbe468beb6eadf9e6
    Size: 460.11 kB
  3. postgresql-devel-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: 9dabdd31a32f9806fa53d38587f9ecfa
    SHA-256: c2cc191fab5ec487f0f0588f513eff3539d068690e75a6e54759d1300037bc3b
    Size: 1.21 MB
  4. postgresql-docs-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: 7f05b66dbfed4e20441fcc47cbc7107a
    SHA-256: 5fe6d0ab6fc54d2acf0b907de6bb7a9a4a71d8891e114a385a1263d6973356a5
    Size: 5.58 MB
  5. postgresql-libs-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: 9caaad1e4eb8e7468465894735609c20
    SHA-256: 674c7cb49cd13137c8a83f4167774cfc147d8df1516265ce48b97f7f29bd7bf1
    Size: 201.00 kB
  6. postgresql-pl-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: f2e1cb783b73b282d0ccdacd48e5249d
    SHA-256: c675bf6c13c2735328cb9625d1cb3faaa15fe8c5a2b7d0c775f4098baeeed858
    Size: 75.96 kB
  7. postgresql-python-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: 315e6298ee39f10c98bed2060e67baf4
    SHA-256: 45b2b2b67630056f232405b64d481193c598cebb29c224a3251b62600c027653
    Size: 57.35 kB
  8. postgresql-server-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: 79daad0d2b5e122cf81ab83fda1f75f7
    SHA-256: fe9b02d196e0ee00e106839326b68d412d7d8f142ed6c1fed223d078c86f18ab
    Size: 3.98 MB
  9. postgresql-tcl-8.1.23-10.0.1.AXS3.x86_64.rpm
    MD5: 663e2676ff94c8764d5424c280edf7cd
    SHA-256: 09786d226ea4bd2dac9f5d0b60306ce1bef2466f225bdd22f9995b2d1de290eb
    Size: 84.01 kB