|
[English]
|
JVNDB-2023-000008
|
Pgpool-II における情報漏えいの脆弱性
|
|
Pgpool-II は PostgreSQL のクラスタ管理ツールです。Pgpool-II の watchdog 機能には、情報漏えい (CWE-200) の脆弱性があります。
ただし、次の条件をすべて満たすシステムに限り本脆弱性の影響を受けます。
- Watchdog 機能が有効 (use_watchdog = on)
- Watchdog の死活監視方式に queryモードが利用されている (wd_lifecheck_method = 'query')
- wd_lifecheck_password に平文のパスワードが設定されている
この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 3.5 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
PgPool Global Development Group
- Pgpool-II 4.4.0から4.4.1までのバージョン (4.4系)
- Pgpool-II 4.3.0から4.3.4までのバージョン (4.3系)
- Pgpool-II 4.2.0から4.2.11までのバージョン (4.2系)
- Pgpool-II 4.1.0から4.1.14までのバージョン (4.1系)
- Pgpool-II 4.0.0から4.0.21までのバージョン (4.0系)
- Pgpool-II 3.7系のすべてのバージョン
- Pgpool-II 3.6系のすべてのバージョン
- Pgpool-II 3.5系のすべてのバージョン
- Pgpool-II 3.4系のすべてのバージョン
- Pgpool-II 3.3系のすべてのバージョン
|
|
|
特定のデータベースユーザの認証情報が他のデータベースユーザに取得される可能性があります。
結果として、取得した認証情報でログインした攻撃者によって、データベース内の情報を改ざんされたり、データベースを停止されたりする可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。
- Pgpool-II 4.4.2 (4.4系)
- Pgpool-II 4.3.5 (4.3系)
- Pgpool-II 4.2.12 (4.2系)
- Pgpool-II 4.1.15 (4.1系)
- Pgpool-II 4.0.22 (4.0系)
Pgpool-II 3.3系から 3.7系まではサポートが終了しているため、修正版はリリースされません。
Pgpool-II 3.7系およびそれ以前のバージョンを使用している場合は、Pgpool-II 4.0系以降の最新バージョンへのアップグレードを検討してください。
[ワークアラウンドを実施する]
次のいずれかを実施することで、本脆弱性の影響を回避することが可能です。
Pgpool-II 3.3系から 3.7系まで
- Watchdog の利用を止める (use_watchdog = off)
- wd_lifecheck_method = 'heartbeat' と設定する
Pgpool-II 4.0系から4.4系まで
- Watchdog の利用を止める(use_watchdog = off)
- wd_lifecheck_method = 'heartbeat' と設定する
- wd_lifecheck_password に平文のパスワードを設定せず、AES で暗号化したパスワードを設定する
- wd_lifecheck_password には空文字を設定し、パスワードは pool_passwd ファイルに設定する
|
|
PgPool Global Development Group
|
|
- 情報漏えい(CWE-200) [IPA評価]
|
|
- CVE-2023-22332
|
|
- JVN : JVN#72418815
|
|
|
