| Title | PostgreSQL のコアサーバコンポーネントにおける任意のファイルの存在を特定される脆弱性 |
|---|---|
| Summary | PostgreSQL のコアサーバコンポーネント内の libxml2 のサポート機能の xml_parse 関数には、任意のファイルまたは URL の存在を特定される、および、ファイルまたは URL のコンテンツを取得される脆弱性が存在します。 |
| Possible impacts | リモート認証されたユーザにより、(1) DTD、または (2) 実体 (エンティティ) を参照する XML 値を介して、解析エラーを誘発するされることで、任意のファイルまたは URL の存在を特定される、および、ファイルまたは URL のコンテンツを取得される脆弱性が存在します。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Aug. 17, 2012, midnight |
| Registration Date | Oct. 5, 2012, 4:03 p.m. |
| Last Update | April 2, 2013, 4:36 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| PostgreSQL.org |
| PostgreSQL 8.3.20 未満の 8.3 |
| PostgreSQL 8.4.13 未満の 8.4 |
| PostgreSQL 9.0.9 未満の 9.0 |
| PostgreSQL 9.1.5 未満の 9.1 |
| アップル |
| Apple Mac OS X Server 10.6.8 |
| Apple Mac OS X Server v10.7 から v10.7.5 |
| Apple Mac OS X Server v2.1.1 未満 (OS X v10.8 から v10.8.2) |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年10月05日] 掲載 [2012年10月16日] ベンダ情報:オラクル (Multiple vulnerabilities in PostgreSQL) を追加 [2012年10月22日] ベンダ情報:openSUSE (openSUSE-SU-2012:1299) を追加 [2012年11月09日] ベンダ情報:レッドハット (RHSA-2012:1263) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:1288) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:1251) を追加 ベンダ情報:Debian (DSA-2534) を追加 [2013年02月18日] 影響を受けるシステム:アップル (HT5533) の情報を追加 ベンダ情報:アップル (HT5533) を追加 [2013年04月02日] 影響を受けるシステム:アップル (HT5672) の情報を追加 ベンダ情報:アップル (HT5672) を追加 ベンダ情報:アップル (APPLE-SA-2013-03-14-1) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The xml_parse function in the libxml2 support in the core server component in PostgreSQL 8.3 before 8.3.20, 8.4 before 8.4.13, 9.0 before 9.0.9, and 9.1 before 9.1.5 allows remote authenticated users to determine the existence of arbitrary files or URLs, and possibly obtain file or URL content that triggers a parsing error, via an XML value that refers to (1) a DTD or (2) an entity, related to an XML External Entity (aka XXE) issue. |
|---|---|
| Publication Date | Oct. 4, 2012, 6:55 a.m. |
| Registration Date | Jan. 28, 2021, 3 p.m. |
| Last Update | Nov. 21, 2024, 10:40 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 8.3.0 | 8.3.20 | |||
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 8.4.0 | 8.4.13 | |||
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 9.1.0 | 9.1.5 | |||
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 9.0.0 | 9.0.9 | |||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:opensuse:12.1:*:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:apple:mac_os_x_server:10.6.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:apple:mac_os_x_server:*:*:*:*:*:*:*:* | 10.7.0 | 10.7.5 | |||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:-:*:*:* | |||||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:* | |||||
| Configuration6 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_eus:6.3:*:*:*:*:*:*:* | |||||