セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2658-1 postgresql-9.1

Debian セキュリティ勧告

DSA-2658-1 postgresql-9.1 -- 複数の脆弱性

報告日時:

2013-04-04

影響を受けるパッケージ:

postgresql-9.1

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 704479.
Mitre の CVE 辞書: CVE-2013-1899, CVE-2013-1900, CVE-2013-1901.

詳細:

PostgreSQL データベースサーバに脆弱性が複数発見されています。

• CVE-2013-1899

  NTT OSS センタ (オープンソースソフトウェアセンター) の近藤光正さんと堀口恭太郎さんが、- で始まるデータベース名を含めた接続リクエストを細工して、 サーバのデータディレクトリ内にあるファイルを損傷、 破壊することが可能であることを発見しました。PostgreSQL サーバが待ち受けているポートにアクセスできる誰もが このリクエストを発することができます。

• CVE-2013-1900

  contrib/pgcrypto 関数により生成される乱数値が、 そのデータベースの別のユーザにとって容易に推測できる可能性があります。

• CVE-2013-1901

  権限のないユーザがコマンドを実行して処理中のバックアップに介入できる可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、postgresql-9.1 は利用可能となっていません。posgresql-8.4 に影響する CVE-2013-1900 については、DSA-2657-1 が発表されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 9.1.9-0wheezy1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 9.1.9-1 で修正されています。

直ちに postgresql-9.1 パッケージをアップグレードすることを勧めます。