PostgreSQL 9.5.x < 9.5.24/9.6.x < 9.6.20/10.x < 10.15/11.x < 11.10/12.x < 12.5/13.x < 13.1の複数の脆弱性

high Nessus プラグイン ID 144060
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのデータベースサーバーは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている PostgreSQL のバージョンが 9.5.24より前の 9.5、9.6.20より前の9.6、10.15より前の10 、11.10より前の 11、12.5より前の12、および13.1より前の13です。したがって、次の複数の脆弱性による影響を受ける可能性があります。
- 複数の機能が、セキュリティが制限された操作のサンドボックスを回避します(CVE-2020-25695)
- 再接続により、接続セキュリティ設定がダウングレードする可能性があります(CVE-2020-25694)
- psqlのgsetを使用すると、特別に処理された変数の上書きが可能になります(CVE-2020-25696)Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

PostgreSQL 9.5.24 / 9.6.20 / 10.15 / 11.10 / 12.5 / 13.1以降にアップグレードしてください。

関連情報

http://www.nessus.org/u?ccdf09f5

https://access.redhat.com/security/cve/CVE-2020-25695

https://access.redhat.com/security/cve/CVE-2020-25694

https://access.redhat.com/security/cve/CVE-2020-25696

プラグインの詳細

深刻度: High

ID: 144060

ファイル名: postgresql_20201112.nasl

バージョン: 1.7

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Databases

公開日: 2020/12/10

更新日: 2021/6/18

依存関係: postgres_installed_windows.nbin, postgres_installed_nix.nbin, postgresql_version.nbin

リスク情報

CVSS スコアのソース: CVE-2020-25696

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.6

Temporal Score: 5.6

ベクトル: AV:N/AC:H/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:postgresql:postgresql

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/11/12

脆弱性公開日: 2020/11/12

参照情報

CVE: CVE-2020-25694, CVE-2020-25695, CVE-2020-25696

IAVB: 2020-B-0069-S