匿名 | ログイン | 新しいユーザーの作成 | 2024-12-05 11:34 JST |
メイン | マイビュー | 検索 | 変更履歴 | ロードマップ | Vine Linux ホーム |
課題の詳細を表示 [ コメントにジャンプ ] | [ 課題の履歴 ] [ 印刷 ] | ||||||||
ID | プロジェクト | カテゴリ | 登録日 | 最終更新 | |||||
0000549 | Vine Linux | 1 バグ | 2007-09-19 08:13 | 2007-12-14 21:56 | |||||
報告者 | anonymous | ||||||||
担当者 | packager | ||||||||
優先度 | 中 | 再現性 | 不明 | ||||||
状態 | 完了 | 解決状況 | 不明 | ||||||
バージョン | VineSeed | ||||||||
修正予定バージョン | 修正済バージョン | ||||||||
概要 | 0000549: PostgreSQL における SECURITY DEFINER に関する権限昇格の脆弱性 | ||||||||
説明 | CVE-2007-2138 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2138 [^] Untrusted search path vulnerability in PostgreSQL before 7.3.19, 7.4.x before 7. 4.17, 8.0.x before 8.0.13, 8.1.x before 8.1.9, and 8.2.x before 8.2.4 allows remote authenticated users, when permitted to call a SECURITY DEFINER function, to gain the privileges of the function owner, related to "search_path settings." JVNDB-2007-000321 PostgreSQL における SECURITY DEFINER に関する権限昇格の脆弱性 http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000321.html [^] SECURITY DEFINER による脆弱性で、4月に出ていたようです。 加えて、PostgreSQL 8.2.5では7.3以降での、 LAZY VACUUMによる、インデックスが壊れる問題も修正されたようです、 最新版への修正を望みます。 | ||||||||
タグ | 設定されていません。 | ||||||||
arch | |||||||||
パッケージ | なし | ||||||||
添付ファイル | |||||||||
コメント | |
(0002653) shaolin (開発者) 2007-09-19 10:33 |
> CVE-2007-2138 > SECURITY DEFINER による脆弱性で、4月に出ていたようです。 取り急ぎ 8.1.10-0vl1 (Seed), 0vl0.40 (VinePlus/4.0) を put しました。 現時点では {src,ppc}.rpm のみです。 > 加えて、PostgreSQL 8.2.5では7.3以降での、 > LAZY VACUUMによる、インデックスが壊れる問題も修正されたようです、 > 最新版への修正を望みます。 |
(0002654) owa (開発者) 2007-09-19 13:46 |
8.2.5-0vl1 を作ってあります。 8.2 に上げても問題が無いようでしたら {src,i386,x86_64} を put する予定です。 8.1.10-0vl1 を get した後、それを元に修正しますので、 本日夕刻以降になります > > CVE-2007-2138 > > SECURITY DEFINER による脆弱性で、4月に出ていたようです。 > > 取り急ぎ 8.1.10-0vl1 (Seed), 0vl0.40 (VinePlus/4.0) を put しました。 > 現時点では {src,ppc}.rpm のみです。 > > > > 加えて、PostgreSQL 8.2.5では7.3以降での、 > > LAZY VACUUMによる、インデックスが壊れる問題も修正されたようです、 > > 最新版への修正を望みます。 |
(0002655) kazutaka (開発者) 2007-09-22 01:09 |
> 8.2.5-0vl1 を作ってあります。 > 8.2 に上げても問題が無いようでしたら {src,i386,x86_64} を put する予定で > す。 > > 8.1.10-0vl1 を get した後、それを元に修正しますので、 > 本日夕刻以降になります 割り当て済みに変更しておきます。 ハラダ |
(0002656) anonymous (参照) 2007-09-22 03:20 |
> > 8.2.5-0vl1 を作ってあります。 > > 8.2 に上げても問題が無いようでしたら {src,i386,x86_64} を put する予定で > > す。 postgresql8.2.5-0vl1の更新を確認しました。 /etc/init.d/postgresql >PGVERSION=8.1 記述が8.1のままでしたので、 8.2にした方が良いかと思われます。 上記を除き 現在の所、動作に問題は無いようです。 |
(0002657) shaolin (開発者) 2007-12-14 09:25 |
> postgresql8.2.5-0vl1の更新を確認しました。 > > /etc/init.d/postgresql > >PGVERSION=8.1 > > 記述が8.1のままでしたので、 > 8.2にした方が良いかと思われます。 現在 Seed には 8.2.5-0vl3 が入っており * Tue Oct 16 2007 Shu KONNO <owa@xx.xxxxxx.xxx> 8.2.5-0vl3 - updated PGVERSION to 8.2 in postgresql.init (sorry;) の通り修正されているようです。 確認待ちに変更しておきます。 また、対象バージョンを Seed のみにしておきました。 (VinePlus/4.0 は 8.1.10-0vl0.40) |
(0002658) anonymous (参照) 2007-12-14 11:33 |
> 現在 Seed には 8.2.5-0vl3 が入っており > > * Tue Oct 16 2007 Shu KONNO <owa@xx.xxxxxx.xxx> 8.2.5-0vl3 > - updated PGVERSION to 8.2 in postgresql.init (sorry;) > > の通り修正されているようです。 > > 確認待ちに変更しておきます。 > > また、対象バージョンを Seed のみにしておきました。 > (VinePlus/4.0 は 8.1.10-0vl0.40) 確認しました。問題ありません。 |
(0002659) shaolin (開発者) 2007-12-14 21:56 |
> 確認しました。問題ありません。 ありがとうございます。完了にしておきます。 |
課題の履歴 | |||
変更日 | ユーザー名 | 項目 | 変更内容 |
2007-09-19 08:13 | anonymous | 新規課題 | |
2007-09-19 10:33 | shaolin | コメント追加: 0002653 | |
2007-09-19 13:46 | owa | コメント追加: 0002654 | |
2007-09-22 01:09 | kazutaka | 担当者 | => packager |
2007-09-22 01:09 | kazutaka | 状態 | 新規 => 担当者決定 |
2007-09-22 01:09 | kazutaka | コメント追加: 0002655 | |
2007-09-22 03:20 | anonymous | コメント追加: 0002656 | |
2007-12-14 09:25 | shaolin | バージョン | 4.1,VineSeed => VineSeed |
2007-12-14 09:25 | shaolin | 状態 | 担当者決定 => テスト待ち |
2007-12-14 09:25 | shaolin | コメント追加: 0002657 | |
2007-12-14 11:33 | anonymous | コメント追加: 0002658 | |
2007-12-14 21:56 | shaolin | 状態 | テスト待ち => 完了 |
2007-12-14 21:56 | shaolin | コメント追加: 0002659 |
Copyright © 2000 - 2024 MantisBT Team Copyright © 2012 - 2024 Project Vine |