PostgreSQL 11.x < 11.11 / 12.x < 12.6 / 13.x < 13.2 の複数の脆弱性

medium Nessus プラグイン ID 148419

概要

リモートのデータベースサーバーは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされているPostgreSQLのバージョンは11.11より前の11、12.6より前の12、13.2より前の13です。したがって、次の複数の脆弱性による影響を受ける可能性があります。

- 13.2より前、12.6より前、11.11より前のバージョンのpostgresqlで、情報漏洩が発見されました。
特定の列に対するUPDATE権限はあるがSELECT権限はないユーザーが、クエリを細工する可能性があります。これにより、状況によっては、エラーメッセージでその列の値を漏洩する可能性があります。攻撃者がこの欠陥を利用して、書き込みは許可されているが読み取りは許可されていない列に格納されている情報を取得する可能性があります。
(CVE-2021-3393)

- 13.2、12.6、11.11以前のバージョンのPostgreSQLで欠陥が見つかりました。この欠陥により、ある列でSELECT権限を持つユーザーが、テーブルのすべての列を返す特別なクエリを細工する可能性があります。
この脆弱性による主な脅威は、機密性に関するものです(CVE-2021-20229)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

PostgreSQL 11.11/12.6/13.2以降にアップグレードしてください

関連情報

http://www.nessus.org/u?56673af4

https://access.redhat.com/security/cve/CVE-2021-20229

https://access.redhat.com/security/cve/CVE-2021-3393

プラグインの詳細

深刻度: Medium

ID: 148419

ファイル名: postgresql_20210211.nasl

バージョン: 1.8

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Databases

公開日: 2021/4/9

更新日: 2022/4/11

サポートされているセンサー: Nessus Agent

リスク情報

CVSS スコアのソース: CVE-2021-20229

VPR

リスクファクター: Low

スコア: 1.4

CVSS v2

リスクファクター: Medium

Base Score: 4

Temporal Score: 3

ベクトル: AV:N/AC:L/Au:S/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:postgresql:postgresql

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/2/11

脆弱性公開日: 2021/2/11

参照情報

CVE: CVE-2021-3393, CVE-2021-20229

IAVB: 2021-B-0023-S