検出

RHEL 5:rh-postgresql95-postgresql(RHSA-2017:1838)

medium Nessus プラグイン ID 102142

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

rh-postgresql95-postgresqlの更新プログラムが、Red Hat Satellite 5.8およびRed Hat Satellite 5.8 ELSで利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。この更新プログラムは、組み込まれたまたは管理されたPostgreSQLデータベースを使用しているSatellite 5.8インスタンスにのみ適用されます。postgresql92-postgresqlからrh-postgresql95-postgresqlへの移行を完了するために必要な手動の手順があります。これらの手順が実行されない場合、影響を受けるSatelliteは引き続きPostgreSQL 9.2を使用します。postgresql92-postgresqlは、Satellite 5.8へのアップグレードの一環としてrh-postgresql95-postgresqlに自動的にアップグレードされます。PostgreSQLは、高度なオブジェクトリレーショナルデータベース管理システム(DBMS)です。セキュリティ修正プログラム:* 一部のselectivity estimation関数では、pg_statisticからの情報を取得する前のユーザーの権限チェックが行われず、情報が漏えいする可能性があることがわかりました。管理者ではないデータベースユーザーがこの欠陥を利用して、権限がなければアクセスできないテーブルから情報を盗む可能性があります。(CVE-2017-7484)* PostgreSQLクライアントライブラリ(libpq)が、PGREQUIRESSL環境変数を設定するときに、PostgreSQLサーバへの接続にTLS/SSLの使用を実施しないことが発見されました。中間にいる攻撃者がこの欠陥を悪用し、クライアントとサーバーの間での接続から、SSL/TLS保護を除外する可能性があります。(CVE-2017-7485)* pg_user_mappingsビューは、外部データベースへのユーザーマッピングに関する情報を、非管理データベースユーザーに漏えいする可能性があることがわかりました。このマッピングのUSAGE権限を持つデータベースユーザーは、ビューを照会するときに、外部データベースへの接続に使用されるユーザー名とパスワードなどのユーザーマッピングデータを取得する可能性があります。(CVE-2017-7486)Red Hatは、この問題を報告してくれたPostgreSQLプロジェクトに感謝の意を表します。アップストリームは、Robert Haas氏をCVE-2017-7484の、Daniel Gustafsson氏をCVE-2017-7485の、Andrew WheelwrightをCVE-2017-7486の最初の報告者として認めています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://rhn.redhat.com/errata/RHSA-2017-1838.html

https://www.redhat.com/security/data/cve/CVE-2017-7484.html

https://www.redhat.com/security/data/cve/CVE-2017-7485.html

https://www.redhat.com/security/data/cve/CVE-2017-7486.html

プラグインの詳細

深刻度: Medium

ID: 102142

ファイル名: redhat-RHSA-2017-1838.nasl

バージョン: 3.8

タイプ: local

エージェント: unix

公開日: 2017/8/3

更新日: 2019/10/24

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-contrib, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-debuginfo, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-libs, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-pltcl, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-server, cpe:/o:redhat:enterprise_linux:5.8

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/7/31

参照情報

CVE: CVE-2017-7484, CVE-2017-7485, CVE-2017-7486

RHSA: 2017:1838