PostgreSQL 11.x < 11.11 / 12.x < 12.6 / 13.x < 13.2 の複数の脆弱性
medium Nessus プラグイン ID 148419
言語:
概要
リモートのデータベースサーバーは、複数の脆弱性の影響を受けます説明
リモートホストにインストールされているPostgreSQLのバージョンは11.11より前の11、12.6より前の12、13.2より前の13です。したがって、次の複数の脆弱性による影響を受ける可能性があります。- 13.2より前、12.6より前、11.11より前のバージョンのpostgresqlで、情報漏洩が発見されました。
特定の列に対するUPDATE権限はあるがSELECT権限はないユーザーが、クエリを細工する可能性があります。これにより、状況によっては、エラーメッセージでその列の値を漏洩する可能性があります。攻撃者がこの欠陥を利用して、書き込みは許可されているが読み取りは許可されていない列に格納されている情報を取得する可能性があります。
(CVE-2021-3393)
- 13.2、12.6、11.11以前のバージョンのPostgreSQLで欠陥が見つかりました。この欠陥により、ある列でSELECT権限を持つユーザーが、テーブルのすべての列を返す特別なクエリを細工する可能性があります。
この脆弱性による主な脅威は、機密性に関するものです(CVE-2021-20229)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
PostgreSQL 11.11/12.6/13.2以降にアップグレードしてください関連情報
http://www.nessus.org/u?56673af4
プラグインの詳細
深刻度: Medium
ID: 148419
ファイル名: postgresql_20210211.nasl
バージョン: 1.8
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Databases
公開日: 2021/4/9
更新日: 2022/4/11
サポートされているセンサー: Nessus Agent
リスク情報
CVSS スコアのソース: CVE-2021-20229
VPR
リスクファクター: Low
スコア: 1.4
CVSS v2
リスクファクター: Medium
Base Score: 4
Temporal Score: 3
ベクトル: AV:N/AC:L/Au:S/C:P/I:N/A:N
現状ベクトル: E:U/RL:OF/RC:C
CVSS v3
リスクファクター: Medium
Base Score: 4.3
Temporal Score: 3.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
現状ベクトル: E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:postgresql:postgresql
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2021/2/11
脆弱性公開日: 2021/2/11
参照情報
CVE: CVE-2021-3393, CVE-2021-20229
IAVB: 2021-B-0023-S