JVNDB-2010-001510

PostgreSQL の bitsubstr 関数におけるサービス運用妨害 (DoS) の脆弱性

PostgreSQL の backend/utils/adt/varbit.c 内にある bitsubstr 関数には、第 3 引数が負の整数となっている際の処理に関して不備があるため、サービス運用妨害 (DoS) 状態となる、または詳細不明な影響を受ける脆弱性が存在します。

PostgreSQL.org

• PostgreSQL 8.3.10 未満
• PostgreSQL 8.2.16 未満
• PostgreSQL 8.1.20 未満
• PostgreSQL 8.0.24 未満
• PostgreSQL 7.4.28 未満

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

リモート認証されたユーザにより、サービス運用妨害 (DoS) 状態にされる、または詳細不明な影響を受ける可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

PostgreSQL.org

• PostgreSQL Release Notes : release-7-4-28
• PostgreSQL Release Notes : release-8-0-24
• PostgreSQL Release Notes : release-8-1-20
• PostgreSQL Release Notes : release-8-2-16
• PostgreSQL Release Notes : release-8-3-10

ミラクル・リナックス

• Asianux Technical Support Network : postgresql-8.1.21-1.1.0.1.AXS3
• MIRACLE LINUX アップデート情報 : 2061
• MIRACLE LINUX アップデート情報 : 2063

レッドハット

• Red Hat Security Advisory : RHSA-2010:0427
• Red Hat Security Advisory : RHSA-2010:0428
• Red Hat Security Advisory : RHSA-2010:0429

1. 数値処理の問題(CWE-189) [NVD評価]

1. CVE-2010-0442

1. National Vulnerability Database (NVD) : CVE-2010-0442
2. Secunia Advisory : SA39820
3. SecurityFocus : 37973
4. ISS X-Force Database : 55902
5. SecurityTracker : 1023510
6. VUPEN Security : VUPEN/ADV-2010-1197

• [2010年06月09日]
    掲載