MiracleLinux 3postgresql-8.1.21-1.1.0.1.AXS3AXSA:2010-289:01
medium Nessus プラグイン ID 284414
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2010-289:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。PostgreSQL は、ほぼすべての SQL コンストラクター (トランザクション、サブセクション、ユーザー定義のタイプと関数を含む) に対応している高度なオブジェクトリレーショナルデータベース管理システム (DBMS) です。postgresql パッケージには、PostgreSQL DBMS サーバーにアクセスするために必要なクライアントプログラムとライブラリが含まれています。
これらの PostgreSQL クライアントプログラムは、PostgreSQL サーバー上の PostgreSQL データベースの内部構造を直接操作するプログラムです。これらのクライアントプログラムは、PostgreSQL サーバーと同じマシンに配置することも、ネットワーク接続で PostgreSQL サーバーにアクセスするリモートマシンに配置することもできます。このパッケージには、パッケージ全体の HTML の docs と、PostgreSQL サーバー上の PostgreSQL データベースを管理するためのコマンドラインユーティリティが含まれています。
リモート PostgreSQL サーバーで PostgreSQL データベースを操作する場合には、このパッケージが必要です。postgresql-server パッケージをインストールしている場合は、このパッケージもインストールする必要があります。
このリリースで修正されたセキュリティ問題
CVE-2009-4136 PostgreSQL 7.4.x より前の 7.4.27、 8.0.x より前の 8.0.23、 8.1.x より前の 8.1.198.2.15、 8.2.x より前の [ 8.3.x 、 8.3.9より前の [ 8.4.x ]、より前の 8.4.2 は、データベーススーパーユーザーによるインデックス機能。これにより、認証されたリモートのユーザーが、細工されたインデックス関数のあるテーブルで権限を取得する可能性があります。これは、1search_path または2準備されたステートメントを変更する関数により実証されています。これは、 CVE-2007-6600 および CVE-2009-3230に関連する問題です]。
CVE-2010-0442 PostgreSQL の backend/utils/adt/varbit.c の bitsubstr 関数により 8.0.23、認証されたリモートのユーザー 8.1.11が、マイナスの攻撃者 8.3.8 が: 「オーバーフロー」に関連する、ビット文字列に対するサブストリング関数への呼び出しを含む SELECT ステートメントによって示されるように、3 番目の引数に整数がありません。 CVE-2010-0733 ] PostgreSQL 8.4.1 以前、および 8.5 8.5alpha2 までの src/backend/executor/nodeHash.c の整数オーバーフローにより、リモート認証されたユーザーが、多数の LEFT JOIN を含む SELECT ステートメントを介して、サービス拒否デーモンクラッシュを引き起こす可能性があります。特定のハッシュテーブルサイズ計算に関連する条項を発見しました。
CVE-2010-1169 PostgreSQL 7.4 より前の 7.4.29、 8.08.0.25] より前の 、 8.18.1.21] より前の 、 8.2 より前の 8.2.17]、 8.3 ] より前の 8.3.11、 8.4 より前の []、 9.08.4.4より前の Beta 9.0 Beta 2 は攻撃を仕掛けることができません適切に制限された PL/perl プロシージャにより、データベース作成権限のあるリモートの認証されたユーザーが、Perl 用の Safe モジュール別名 Safe.pmに関連して、細工されたスクリプトを通じて任意の Perl コードを実行する可能性があります。
CVE-2010-1170 PostgreSQL での PL/Tcl の実装 7.4 より前の 7.4.29、 8.08.0.25より前の 8.1.218.1 、[] より前の []、 8.2 より前の 8.2.17、 8.3 ] より前の 8.3.11]、 8.4 より前の 8.4.4、および 9.0 より前の Beta 9.0 Beta 2 が、テーブルの所有権と権限に関係なく pltcl_modules テーブルから Tcl コードをロードします。これにより、データベース作成権限のある認証されたリモートユーザーが、このテーブルを作成し、細工された Tcl スクリプトを挿入することで任意の Tcl コードを実行できます。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 284414
ファイル名: miracle_linux_AXSA-2010-289.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/14
更新日: 2026/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2010-1169
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2010-0733
脆弱性情報
CPE: p-cpe:/a:miracle:linux:postgresql-docs, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:postgresql-libs, p-cpe:/a:miracle:linux:postgresql-devel, p-cpe:/a:miracle:linux:postgresql-python, p-cpe:/a:miracle:linux:postgresql-contrib, p-cpe:/a:miracle:linux:postgresql-pl, p-cpe:/a:miracle:linux:postgresql, p-cpe:/a:miracle:linux:postgresql-server, p-cpe:/a:miracle:linux:postgresql-tcl
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2010/5/28
脆弱性公開日: 2009/10/28
参照情報
CVE: CVE-2009-4136, CVE-2010-0442, CVE-2010-0733, CVE-2010-1169, CVE-2010-1170