blob: fa3b8b59d569e4714658c7a35b283649ec0d634c (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7"
<define-tag description>LTS セキュリティ更新</define-tag>
<define-tag moreinfo>
<p>上流の新しいマイナーリリースです。
ユーザは次回の保守計画実施時にこのバージョンにアップグレードしてください。</p>
<h3>特に重要な変更:</h3>
<p>make check の過程で開始される一時 postmaster の
Unix ドメインソケットを安全に (Noah Misch)</p>
<p>以前に <a
href="https://security-tracker.debian.org/tracker/CVE-2014-0067">CVE-2014-0067</a>
で注意したように、ソケットファイルにアクセス可能なあらゆるローカルユーザは、
サーバのブートストラップスーパーユーザとして接続し、
そのオペレーティングシステム上のテストの実行ユーザの権限で任意のコードの実行へと進めることが可能です。
この変更ではサーバのソケットを /tmp のサブディレクトリにモード
0700 で一時的に置くことでその危険に対する保護策としています。</p>
<p>8.4.22 をもって PostgreSQL 8.4 ブランチは終了となります。
PostgreSQL Global 開発グループによる今後のリリースはありません。</p>
<p>PostgreSQL 8.4 のユーザは新しい PostgreSQL
リリースへのアップグレードを検討してください。選択肢:</p>
<ul>
<li>Debian 7 (Wheezy) へのアップグレード。postgresql-9.1 を提供しています。</li>
<li><p>apt.postgresql.org リポジトリの利用。PostgreSQL のアクティブなブランチ
(これを書いている時点では 9.0 から 9.4 まで) の全パッケージを提供しています。</p>
<p>リポジトリのさらなる情報については、<a
href="https://wiki.postgresql.org/wiki/Apt">https://wiki.postgresql.org/wiki/Apt</a>
を見てください。</p>
<p>このリポジトリを有効にする補助スクリプトが
/usr/share/doc/postgresql-8.4/examples/apt.postgresql.org.sh
に提供されています。</p>
</li>
<li>LTS版の 8.4 は squeeze-lts の終了まで対象とすることを計画中です。
恐らくできる限りの更新となります。
ユーザはこれを活用することができますが、今後数か月でもっと新しい PostgreSQL
バージョンへのアップグレードを検討すべきであることは変わりません。</li>
</ul>
<p>Debian 6 <q>Squeeze</q>では、この問題は postgresql-8.4
バージョン 8.4.22-0+deb6u1 で修正されています。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0019.data"
|
