[pgsql-jp: 37993] [ANNOUNCE] Revised Security Release available for 8.2, 8.1, 8.0

Satoshi Nagayasu nagayasus @ nttdata.co.jp
2007年 2月 8日 (木) 08:40:50 JST


永安です。

昨日の続きです。8.2.3/8.1.8/8.0.12がリリースされました。

なんかあんまりこなれてない翻訳になっちゃってますが、
ご了承くださいませ。

-------------------------------------------------------
[ANNOUNCE] 改訂版セキュリティリリース 8.2, 8.1, 8.0

8.2/8.1/8.0の改訂されたセキュリティリリースを入手可能です。

The PostgreSQL Global Development Groupは、すべてのPostgreSQL 8.x
バージョン向けのセキュリティアップデートをリリースしました:
対象はマイナーバージョン 8.2.2/8.1.7/8.0.11です。
今回のリリースは2月5日の多くのユーザに影響を与える型キャストに関する
バグを含んでいたセキュリティリリースを置き換えるものです。

8.2.2/8.1.7/8.0.11をダウンロードしていた場合には、
そのバージョンを破棄し、アップデートされたバージョンを
インストールしてください。

このリリースは、CVE-2007-0555とCVE-2007-0556に対する修正です。
これらの問題は両方とも、DoS攻撃のための任意のSQLの実行、
あるいはメモリのランダムな領域を読み出すための
認証された(権限を持つ)アタッカーを許してしまいます。
このアタックは認証されたアクセスを必要とするため、
セキュリティホールとしては中程度のリスクとなります。
この問題についての詳細は Mitre で読むことができます。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0555
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0556

新しいマイナーバージョンは、私たちのダウンロードページから取得できます:
http://www.postgresql.org/download/ ユーザは、アップグレードのために
ダンプ&レストアを行う必要はありません。が、対象となるバージョンの
リリースノートを読んでください:
http://www.postgresql.org/docs/8.2/static/release.html


---------- Forwarded message ----------
From: josh @ postgresql.org <josh @ postgresql.org>
Date: 2007/02/08 4:09
Subject: [ANNOUNCE] Revised Security Release available for 8.2, 8.1, 8.0
To: pgsql-announce @ postgresql.org


Revised Security Release available for 8.2, 8.1, 8.0

The PostgreSQL Global Development Group releases today a security update for
all PostgreSQL 8.X versions: minor versions 8.2.3, 8.1.8, 8.0.12. This
release replaces the security release from February 5th, which contained a
type-casting bug affecting many users.

If you downloaded a copy of 8.2.2, 8.1.7 or 8.0.11, you should discard that
versions and install the updated versions instead.

This release fixes CVE-2007-0555 and CVE-2007-0556.  Both of these issues
allow an authenticated attacker with the permissions to run arbitrary SQL to
launch a denial-of-service attack or possibly read out random chunks of
memory.  Since attacks to require authenticated access, the security hole is
only considered medium risk.  You can read more about the issues on Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0555
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0556

The new minor versions may be downloaded from our download page:
http://www.postgresql.org/download/.  Users will not need to dump & reload
for the upgrade.  However, see the release notes for your target version:
http://www.postgresql.org/docs/8.2/static/release.html



---------------------------(end of broadcast)---------------------------
-To unsubscribe from this list, send an email to:

              pgsql-announce-unsubscribe @ postgresql.org



-- 
NAGAYASU Satoshi <nagayasus @ nttdata.co.jp>
Phone: +81-50-5546-2496




pgsql-jp メーリングリストの案内