Debian DSA-5135-1: postgresql-11 - セキュリティ更新

high Nessus プラグイン ID 161154

言語:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dsa-5135 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

 - PostgreSQL に欠陥が見つかりました。権限のあるユーザーが別のユーザーのオブジェクトを管理している場合に、安全に操作するための取り組みが不完全であるという問題があります。Autovacuum、REINDEX、CREATE INDEX、REFRESH MATERIALIZED VIEW、CLUSTER、および pg_amcheck コマンドは、関連する保護をアクティブ化するのが遅すぎるか、処理の際にまったく動作しません。この欠陥により、少なくとも 1 つのスキーマで非一時オブジェクトを作成する権限を持つ攻撃者が、スーパーユーザーの ID で任意の SQL 関数を実行する場合があります。(CVE-2022-1552)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

postgresql-11 パッケージをアップグレードしてください。

関連情報

http://www.nessus.org/u?4e0872ee

https://packages.debian.org/source/buster/postgresql-11

https://www.debian.org/security/2022/dsa-5135

https://security-tracker.debian.org/tracker/CVE-2022-1552

プラグインの詳細

深刻度: High

ID: 161154

ファイル名: debian_DSA-5135.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2022/5/13

更新日: 2023/3/21

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 9

Temporal Score: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-1552

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:libecpg-compat3:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:libecpg-dev:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:libecpg6:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:libpgtypes3:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:libpq-dev:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:libpq5:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:postgresql-11:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:postgresql-client-11:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:postgresql-doc-11:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:postgresql-plperl-11:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:postgresql-plpython-11:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:postgresql-plpython3-11:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:postgresql-pltcl-11:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:postgresql-server-dev-11:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/5/12

脆弱性公開日: 2022/5/11

参照情報

CVE: CVE-2022-1552

IAVB: 2022-B-0015-S