Vendor Status Note JVNCIAC-S-108

PostgreSQL に複数の脆弱性

概要

PostgreSQL には、複数の脆弱性があります。

影響を受けるシステム
 - PostgreSQL 8.2.5 およびそれ以前
 - PostgreSQL 8.1.10 およびそれ以前
 - PostgreSQL 8.0.14 およびそれ以前
 - PostgreSQL 7.4.18 およびそれ以前
 - PostgreSQL 7.3.20 およびそれ以前

想定される影響

遠隔の第三者が細工したクエリを処理させることで、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

ベンダ情報

ベンダリンク更新日
PostgreSQLPostgreSQL: News
2008-01-07 Cumulative Security Update Release
Red HatRed Hat Security Advisory RHSA-2008:0038
Moderate: postgresql security update
Red Hat Security Advisory RHSA-2008:0039
Moderate: postgresql security update
サンマイクロシステムズSun Alert Notification 103197
Multiple Security Vulnerabilities in PostgreSQL Shipped with Solaris 10 May Allow Elevation of Privileges or Denial of Service (DoS)
参考情報

  1. ISS X-Force Database: postgresql-dblink-sql-injection(35142)
    PostgreSQL Database Link library (dblink) SQL injection
  2. ISS X-Force Database: postgresql-indexfunctions-priv-escalation(39496)
    PostgreSQL index functions privilege escalation
  3. ISS X-Force Database: postgresql-regular-expression-dos(39497)
    PostgreSQL regular expressions denial of service
  4. ISS X-Force Database: postgresql-complex-expression-dos(39498)
    PostgreSQL complex regular expressions denial of service
  5. ISS X-Force Database: postgresql-backref-dos(39499)
    PostgreSQL out-of-range backref numbers denial of service
  6. ISS X-Force Database: postgresql-dblink-privilege-escalation(39500)
    PostgreSQL DBLink functions privilege escalation

JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2008-0201 ( 2008-01-17 )
CIAC BulletinS-108 PostgreSQL Security Update ( 2008-01-11 )
CVE2007-3278 [CVE+] XF35142
2007-4769 [CVE+] XF39499
2007-4772 [CVE+] XF39497
2007-6067 [CVE+] XF39498
2007-6600 [CVE+] XF39496
2007-6601 [CVE+] XF39500
PGP署名JVNCIAC-S-108.html.sig

登録日19:29 2008/01/19
更新日19:29 2008/01/19

Copyright(C) 2002-2009 Keio Univ. All rights reserved.