PostgreSQL 14.x < 14.12 / 15.x < 15.7 / 16.x < 16.3 における認証チェックの欠落
low Nessus プラグイン ID 197741
Language:
概要
リモートのデータベースサーバーは、脆弱性の影響を受けます説明
リモートホストにインストールされている PostgreSQL のバージョンは 14 の 14.12 より前、15 の 15.7 より前、16 の 16.3 より前です。そのため、次の脆弱性の影響を受ける可能性があります。- PostgreSQL の組み込みビュー pg_stats_ext および pg_stats_ext_exprs に認証がないため、権限のないデータベースユーザーが、最も一般的な値やその他の統計を他のユーザーの CREATE STATISTICS コマンドから読み取る可能性があります。最も一般的な値により、盗聴者が他の方法では読み取ることができなかった列の値や、実行できない関数の結果が漏洩する可能性があります。影響を受けないバージョンをインストールすると、PostgreSQL の新規インストール、つまりそのバージョンのインストール後に initdb ユーティリティで作成されたもののみが修正されます。現在インストールされている PostgreSQL は、リリースノートの指示に従うまでは脆弱なままです。メジャーバージョン 14 ~ 16 のうち、PostgreSQL 16.3、15.7、および 14.12 より前のマイナーバージョンが影響を受けます。PostgreSQL 14 より前のバージョンは影響を受けません。(CVE-2024-4317)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
PostgreSQL 14.12/15.7/16.3以降にアップグレードしてください参考資料
プラグインの詳細
深刻度: Low
ID: 197741
ファイル名: postgresql_20240509.nasl
バージョン: 1.1
タイプ: combined
ファミリー: Databases
公開日: 2024/5/23
更新日: 2024/5/24
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.2
CVSS v2
リスクファクター: Low
基本値: 2.1
現状値: 1.6
ベクトル: CVSS2#AV:N/AC:H/Au:S/C:P/I:N/A:N
CVSS スコアのソース: CVE-2024-4317
CVSS v3
リスクファクター: Low
基本値: 3.1
現状値: 2.7
ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:postgresql:postgresql
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/5/9
脆弱性公開日: 2024/5/9
参照情報
CVE: CVE-2024-4317
IAVB: 2024-B-0062