PostgreSQLの脆弱性情報(CVE-2021-23214, CVE-2021-23222)と新バージョン(14.1, 13.5, 12.9, 11.14, 10.19, 9.6.24)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
11/11/2021にPostgreSQLの脆弱性情報(CVE-2021-23214, CVE-2021-23222)と新バージョン(14.1, 13.5, 12.9, 11.14, 10.19, 9.6.24)が公開されました。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
[関連リンク(最新5件)]
PostgreSQLの脆弱性情報(CVE-2021-32027, CVE-2021-32028, CVE-2021-32029)と新バージョン(13.3, 12.7, 11.12, 10.17, 9.6.22) PostgreSQLの脆弱性情報(Low: CVE-2021-3393, CVE-2021-20229)と新バージョン(13.2, 12.6, 11.11, 10.16, 9.6.21, 9.5.25) PostgreSQLの脆弱性情報(CVE-2020-25694, CVE-2020-25695, CVE-2020-25696)と新バージョン(9.5.24, 9.6.20, 10.15, 11.10, 12.5, 13.1) PostgreSQLの脆弱性情報(CVE-2020-14349, CVE-2020-14350)と新バージョン(12.4, 11.9, 10.14, 9.6.19, 9.5.23, 13 Beta 3) PostgreSQLの脆弱性情報(CVE-2020-1720)と新バージョン(9.6.17, 10.12, 11.7, 12.2) PostgreSQLの複数の脆弱性情報(Moderate: CVE-2019-10208, CVE-2019-10210, CVE-2019-10211, Low:CVE-2019-10209)とアップデート(PostgreSQL 11.5, 10.10, 9.6.15, 9.5.19, 9.4.24) PostgreSQLの脆弱性情報(CVE-2019-10127, CVE-2019-10128, CVE-2019-10129, CVE-2019-10130)とアップデート(PostgreSQL 11.3, 10.8, 9.6.13, 9.5.17, 9.4.22)CVSS/一次情報源
| CVE番号 | 影響するバージョン | リファレンス | Priority | CVSS |
|---|---|---|---|---|
| CVE-2021-23214 | < 14.1, 13.5, 12.9, 11.14, 10.19 |
Vendor: 8.1 |
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
|
| CVE-2021-23222 | < 14.1, 13.5, 12.9, 11.14, 10.19 |
Vendor: 3.7 |
AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23214
- サーバがclientcertを用いた認証やcert認証を使用する際に、接続が最初に確立してSSL証明書認証と暗号化が行われているにも関わらず、中間者攻撃により任意のSQLクエリを挿入することが出来る可能性があります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23222
- SSL証明書認証と暗号化がされているにもかかわらず、中間者攻撃によりクライアントに最初のクエリに対して誤った応答を挿入することが出来ます。前提条件が整うと、攻撃者はクライアントのパスワードを抽出したり、セッション中でやり取りされている重要なデータを抽出することが可能です。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
[参考]
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
- OSSセキュリティ技術の会の面により、Linux セキュリティ対策最新ガイドが執筆・販売されています。
日々のメモを更新しています。
セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。
セミナー情報1
2021/10/22日に大阪商工会議所様が開催致しました「BCP・サイバーセキュリティセミナー「やってはイケナイ」をやってみる!」ですが、Youtube動画が公開されています。筆者も登壇しましたので、ご興味がありましたらぜひ見て下さい。
OSSに関するお困りごとは サイオス OSSよろず相談室まで
サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。
フォローしませんか?
