Debian Long Term Support / LTS Security Information / 2014 / セキュリティ情報 -- DLA-0019-1 postgresql-8.4

Debian セキュリティ勧告

DLA-0019-1 postgresql-8.4 -- LTS セキュリティ更新

報告日時:

2014-07-29

影響を受けるパッケージ:

postgresql-8.4

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-0067.

詳細:

上流の新しいマイナーリリースです。 ユーザは次回の保守計画実施時にこのバージョンにアップグレードしてください。

特に重要な変更:

make check の過程で開始される一時 postmaster の Unix ドメインソケットを安全に (Noah Misch)

以前に CVE-2014-0067 で注意したように、ソケットファイルにアクセス可能なあらゆるローカルユーザは、 サーバのブートストラップスーパーユーザとして接続し、 そのオペレーティングシステム上のテストの実行ユーザの権限で任意のコードの実行へと進めることが可能です。 この変更ではサーバのソケットを /tmp のサブディレクトリにモード 0700 で一時的に置くことでその危険に対する保護策としています。

8.4.22 をもって PostgreSQL 8.4 ブランチは終了となります。 PostgreSQL Global 開発グループによる今後のリリースはありません。

PostgreSQL 8.4 のユーザは新しい PostgreSQL リリースへのアップグレードを検討してください。選択肢:

• Debian 7 (Wheezy) へのアップグレード。postgresql-9.1 を提供しています。

• apt.postgresql.org リポジトリの利用。PostgreSQL のアクティブなブランチ (これを書いている時点では 9.0 から 9.4 まで) の全パッケージを提供しています。

  リポジトリのさらなる情報については、https://wiki.postgresql.org/wiki/Apt を見てください。

  このリポジトリを有効にする補助スクリプトが /usr/share/doc/postgresql-8.4/examples/apt.postgresql.org.sh に提供されています。

• LTS版の 8.4 は squeeze-lts の終了まで対象とすることを計画中です。 恐らくできる限りの更新となります。 ユーザはこれを活用することができますが、今後数か月でもっと新しい PostgreSQL バージョンへのアップグレードを検討すべきであることは変わりません。

Debian 6 Squeezeでは、この問題は postgresql-8.4 バージョン 8.4.22-0+deb6u1 で修正されています。