PostgreSQLの脆弱性情報(CVE-2020-14349, CVE-2020-14350)と新バージョン(12.4, 11.9, 10.14, 9.6.19, 9.5.23, 13 Beta 3)

2020.08.19

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

08/13/2020にPostgreSQLの脆弱性情報(CVE-2020-14349, CVE-2020-14350)と新バージョン(12.4, 11.9, 10.14, 9.6.19, 9.5.23, 13 Beta 3)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

CVSS/一次情報源

CVE番号影響するバージョンリファレンスPriorityCVSS
CVE-2020-14349 postgresql 10, 11, 12 < 10.13, 11.8, 12.3

PostgreSQL 12.4, 11.9, 10.14, 9.6.19, 9.5.23, and 13 Beta 3 Released!

Vendor: 7.5

Vendor: Vector: AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

CVE-2020-14350 postgresql 9.5, 9.6, 10, 11, 12 < 9.5.22, 9.6.18, 10.13, 11.8, 12.3

PostgreSQL 12.4, 11.9, 10.14, 9.6.19, 9.5.23, and 13 Beta 3 Released!

Vendor: 7.1

Vendor: Vector: AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14349
    • logical レプリケーション中の制御不可能なsearch_pathの問題
    • PostgreSQLのsearch_path設定はtableやfunction, operatorなどの検索のスキーマを決定します。CVE-2018-1058の修正が殆どのPostgreSQLが提供するクライアントアプリケーションに対してsearch_pathのサニタイズを提供していましたが、logical レプリケーションに対してはそのままになっていました。レプリケーションを行うユーザや、データベースのサブスクライバはパブリックスキーマにオブジェクトを作成することが出来、それらを束ねて任意のSQL関数をレプリケーションを実行しているID(通常はsuperuser)で実行できます。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14350
    • CREATE EXTENSION中の制御不可能なsearch_pathの問題
    • Superuserが特定のCREATE EXTENSIONステートメントを実行した際に、ユーザは任意のSQL関数をsuperuserのIDで実行することが可能です。攻撃者は新しいスキーマやスキーマのprerequisite extensionにたいしてオブジェクトを作成する権限を持っている必要があります。

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

セキュリティ系連載案内

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2020併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2020の企画講演セッション及び、 一般論文セッションの発表募集をさせていただきます。

今年度はオンラインでの開催となります。奮ってのご投稿、お待ちしております。

https://www.iwsec.org/ows/2020/

タイトルとURLをコピーしました