JVNDB-2012-003232

JVNDB-2012-003232
PostgreSQL の CREATE TRIGGER における制限されたトリガを実行される脆弱性
概要
PostgreSQL の CREATE TRIGGER は、トリガされる SECURITY DEFINER が付与された関数の実行権限を適切に確認しないため、任意のデータ上の制限されたトリガを実行される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 6.5 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

PostgreSQL.org PostgreSQL 8.3.18 未満の 8.3.x PostgreSQL 8.4.11 未満の 8.4.x PostgreSQL 9.0.7 未満の 9.0.x PostgreSQL 9.1.3 未満の 9.1.x

想定される影響
リモート認証されたユーザにより、ユーザが所有するテーブルにトリガをインストールされることで、任意のデータ上の制限されたトリガを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Debian Debian セキュリティ勧告 : DSA-2418 Mandriva, Inc. Security Advisories : MDVSA-2012:026 Security Advisories : MDVSA-2012:027 openSUSE project opensuse-updates : openSUSE-SU-2012:1173 PostgreSQL.org PostgreSQL NEWS : Security Update 2012-02-27 released PostgreSQL Release Notes : Release 9.1.3 PostgreSQL Release Notes : Release 9.0.7 PostgreSQL Release Notes : Release 8.4.11 PostgreSQL Release Notes : Release 8.3.18 レッドハット Red Hat Security Advisory : RHSA-2012:0678 Red Hat Security Advisory : RHSA-2012:0677
CWEによる脆弱性タイプ一覧 CWEとは?
認可・権限・アクセス制御(CWE-264) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2012-0866
参考情報
National Vulnerability Database (NVD) : CVE-2012-0866
更新履歴
[2012年07月23日] 掲載 [2012年11月14日] ベンダ情報：openSUSE (openSUSE-SU-2012:1173) を追加


公表日	2012/02/27
登録日	2012/07/23
最終更新日	2012/11/14

PostgreSQL の CREATE TRIGGER における制限されたトリガを実行される脆弱性