オブジェクト指向 SQL データベース PostgreSQL に、ローカルから攻撃可能な複 数の問題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
DBLink モジュールが資格情報を十分に検証していないことが発見されました。 この問題は、上流からの最初の修正が不十分であったため、CVE-2007-6601 としても管理されています。
Tavis Ormandy さんと Will Drewry さんにより、正規表現エンジン中の後方 参照処理にバグがあり、境界外へのアクセスを引き起こすことによるクラッ シュの可能性があることが発見されました。この問題がセキュリティ上の欠 陥となるのは、アプリケーションが PostgreSQL を用いて信用できないソー スからの正規表現を処理する場合のみです。
Tavis Ormandy さんと Will Drewry さんにより、正規表現エンジン中の最適 化処理にバグがあり、無限ループを引き起こすことによるサービス拒否攻撃 の可能性があることが発見されました。この問題がセキュリティ上の欠陥と なるのは、アプリケーションが PostgreSQL を用いて信用できないソースか らの正規表現を処理する場合のみです。
Tavis Ormandy さんと Will Drewry さんにより、正規表現エンジン中の最適 化処理にバグがあり、多量のリソースを消費させるようし向けることができ ることが発見されました。この問題がセキュリティ上の欠陥となるのは、ア プリケーションが PostgreSQL を用いて信用できないソースからの正規表現 を処理する場合のみです。
index expression 中の関数が権限昇格に繋がる可能性があります。この件に 関する詳細な説明は、上流からの下記アナウンスを参照ください。 http://www.postgresql.org/about/news.905.
旧安定版 (sarge) には postgresql-8.1 パッケージは収録されていません。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン postgresql-8.1 8.1.11-0etch1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 8.2.6-1 of postgresql-8.2 で修正されています。
直ぐに postgresql-8.1 (8.1.11-0etch1) パッケージをアップグレードすること を勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。