JVNDB-2009-002154

PostgreSQL の core server コンポーネントにおける権限昇格の脆弱性

PostgreSQL の core server コンポーネントには、SET ROLE および SET SESSION AUTHORIZATION の操作に対して適切な権限を付与しないため、権限を取得される脆弱性が存在します。
尚、本問題は CVE-2007-6600 の修正が不完全だったことによる問題です。

PostgreSQL.org

• PostgreSQL 8.4.1 未満
• PostgreSQL 8.3.8 未満
• PostgreSQL 8.2.14 未満
• PostgreSQL 8.1.18 未満
• PostgreSQL 8.0.22 未満
• PostgreSQL 7.4.26 未満

サン・マイクロシステムズ

• OpenSolaris (sparc) 
• OpenSolaris (x86) 
• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

ターボリナックス

• Turbolinux Appliance Server 2.0  
• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Client 2008 
• Turbolinux FUJI
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.4.z (server) 
• RHEL Desktop Workstation 5 (client) 

リモート認証されたユーザに権限を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

PostgreSQL.org

• PostgreSQL Release Notes : Release 8.4.1
• PostgreSQL Security Information : CVE-2009-3230

サン・マイクロシステムズ

• Sun Alert Notification : 270408

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2009-29
• 製品セキュリティ情報 : TLSA-2009-29

ミラクル・リナックス

• Asianux Technical Support Network : postgresql-8.1.18-2.1.1AXS3
• MIRACLE LINUX アップデート情報 : 1828
• MIRACLE LINUX アップデート情報 : 1843

レッドハット

• Red Hat Security Advisory : RHSA-2009:1484
• Red Hat Security Advisory : RHSA-2009:1485
• レッドハット セキュリティーアップデート : RHSA-2009:1484
• レッドハット セキュリティーアップデート : RHSA-2009:1485

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2009-3230

1. National Vulnerability Database (NVD) : CVE-2009-3230
2. Secunia Advisory : SA36695
3. Secunia Advisory : SA36660
4. SecurityFocus : 36314

• [2009年10月28日]
    掲載
  [2009年11月17日]
    影響を受けるシステム：サン・マイクロシステムズ (270408) の情報を追加
    影響を受けるシステム：ミラクル・リナックス (1812) の情報を追加
    ベンダ情報：サン・マイクロシステムズ (270408) を追加
    ベンダ情報：ミラクル・リナックス (1812) を追加
  [2010年01月19日]
    影響を受けるシステム：ミラクル・リナックス (1828) の情報を追加
    影響を受けるシステム：ミラクル・リナックス (1843) の情報を追加
    ベンダ情報：ミラクル・リナックス (1828) を追加
    ベンダ情報：ミラクル・リナックス (1843) を追加