JVNDB-2010-001523

PostgreSQL における任意のパラメータ設定を削除される脆弱性

PostgreSQL には、RESET ALL を操作する際、適切に権限をチェックしない不備があるため、任意のパラメータ設定を削除される脆弱性が存在します。

PostgreSQL.org

• PostgreSQL 7.4.29 未満
• PostgreSQL 8.0.25 未満
• PostgreSQL 8.1.21 未満
• PostgreSQL 8.2.17 未満
• PostgreSQL 8.3.11 未満
• PostgreSQL 8.4.4 未満

サン・マイクロシステムズ

• OpenSolaris
• Sun Solaris 10  

ミラクル・リナックス

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

リモート認証されたユーザにより、ALTER USER または ALTER DATABASE ステートメントを介して、任意のパラメータ設定を削除される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

PostgreSQL.org

• PostgreSQL Release Notes : release-7-4-29
• PostgreSQL Release Notes : release-8-0-25
• PostgreSQL Release Notes : release-8-1-21
• PostgreSQL Release Notes : release-8-2-17
• PostgreSQL Release Notes : release-8-3-11
• PostgreSQL Release Notes : release-8-4-4

サン・マイクロシステムズ

• Sun : cve_2010_1169_cve_2010
• Sun : cve_2010_1169_cve_20101

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : 2061

レッドハット

• Red Hat Security Advisory : RHSA-2010:0428
• Red Hat Security Advisory : RHSA-2010:0429
• Red Hat Security Advisory : RHSA-2010:0430

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2010-1975

1. National Vulnerability Database (NVD) : CVE-2010-1975
2. Secunia Advisory : SA39845
3. SecurityFocus : 40304
4. VUPEN Security : VUPEN/ADV-2010-1167

• [2010年06月15日]
    掲載
  [2010年08月02日]
    影響を受けるシステム：サン・マイクロシステムズ (cve_2010_1169_cve_2010) の情報を追加
    影響を受けるシステム：サン・マイクロシステムズ (cve_2010_1169_cve_20101) の情報を追加
    ベンダ情報：サン・マイクロシステムズ (cve_2010_1169_cve_2010) を追加
    ベンダ情報：サン・マイクロシステムズ (cve_2010_1169_cve_20101) を追加