MiracleLinux 3postgresql-8.1.23-10.0.1.AXS3AXSA:2014-235:01
critical Nessus プラグイン ID 289133
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2014-235:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。PostgreSQL は、ほぼすべての SQL コンストラクター (トランザクション、サブセクション、ユーザー定義のタイプと関数を含む) に対応している高度なオブジェクトリレーショナルデータベース管理システム (DBMS) です。postgresql パッケージには、PostgreSQL DBMS サーバーにアクセスするために必要なクライアントプログラムとライブラリが含まれています。
これらの PostgreSQL クライアントプログラムは、PostgreSQL サーバー上の PostgreSQL データベースの内部構造を直接操作するプログラムです。これらのクライアントプログラムは、PostgreSQL サーバーと同じマシンに配置することも、ネットワーク接続で PostgreSQL サーバーにアクセスするリモートマシンに配置することもできます。このパッケージには、パッケージ全体の HTML の docs と、PostgreSQL サーバー上の PostgreSQL データベースを管理するためのコマンドラインユーティリティが含まれています。
ローカルまたはリモートの PostgreSQL サーバーで PostgreSQL データベースを操作する場合には、このパッケージが必要です。postgresql-server パッケージをインストールしている場合は、このパッケージもインストールする必要があります。
このリリースで修正されたセキュリティ問題
CVE-2014-00608.4.20より前の PostgreSQL、 9.0.x9.0.16より前の 、 9.1.x9.1.12より前の 、 9.2.x9.2.7より前の 、 9.3.39.3.x より前の の PostgreSQL は、ADMIN OPTION 制限を適切に施行しません。これにより、ロールの認証されたリモートメンバーが追加を実行できます。または、関連付けられている GRANT コマンドの前に SET ROLE コマンドを呼び出すことで、そのロールに任意のユーザーを削除することができます。
CVE-2014-0061 より前の PostgreSQL、 8.4.209.0.x より前の 9.0.16、[] より前の 9.1.129.1.x 、 9.2.x より前の []、[ 9.2.7より前の 9.3.x9.3.3 の PostgreSQL の手続き型言語PLのバリデーター関数により、認証されたリモートユーザーが、 (1) 他の言語で定義された、または (2) 権限のためにユーザーによる直接呼び出しが許可されていない関数。
CVE-2014-0062 本ドキュメントの現時点での情報はありません。以下に提供されている CVE のリンクを参照してください。
CVE-2014-0063 より前の 8.4.20より前の 9.0.x ]、[] より前の 9.0.16、 9.1.x9.1.12より前の []、 9.2.x より前の 9.2.7]、[ 9.3.x より前の 9.3.3 の PostgreSQL における複数のスタックベースのバッファオーバーフローにより、認証されたリモートユーザーがサービス拒否クラッシュを引き起こす可能性があります) あるいは、(1) 間隔、(2) タイムスタンプ、または (3) タイムゾーンを含む不適切な MAXDATELEN 定数と日時値に関連するベクトルを介して任意のコードを実行できる可能性があります。これは CVE-2014-0065とは異なる脆弱性です。
CVE-2014-0064 より前の PostgreSQL、 8.4.209.0.x より前の 9.0.16]、 9.1.x より前の 、[ 9.1.129.2.x より前の []、 9.2.79.3.x より前の 9.3.3 PostgreSQL の path_in と他の詳細不明な関数の複数の整数オーバーフローにより、認証されたリモートユーザーが詳細不明な影響を与える可能性があります。およびバッファオーバーフローを引き起こす可能性がある攻撃ベクトルを発見しました。注意:
この識別子は、さまざまな影響を受けるバージョンにより分割されています。 hstore ベクトルに対して CVE-2014-2669 を使用します。
CVE-2014-0065 より前の 8.4.20、 9.0.x ] より前の 9.0.16、 9.1.x ] より前の 9.1.12、 9.2.x より前の []、 9.3.x9.2.7より前の 9.3.3 PostgreSQL の複数のバッファオーバーフローにより、認証されたリモートユーザーが、詳細不明な影響や攻撃ベクトル、異なる脆弱性を引き起こす可能性があります。より前の CVE-2014-0063。
CVE-2014-0066 より前の PostgreSQL、 8.4.20] より前の 9.0.169.0.x 、 9.1.x より前の 9.1.12、 9.2.x9.2.7より前の ]、[] より前の 9.3.x9.3.3 の PostgreSQL の chkpass 拡張が、crypt ライブラリ関数の戻り値を適切にチェックしません。これにより、crypt ライブラリ関数の戻り値が正しくチェックされません。リモートの認証されたユーザーが、詳細不明なベクトルを介してサービス拒否NULL ポインターデリファレンスおよびクラッシュを引き起こす可能性があります。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 289133
ファイル名: miracle_linux_AXSA-2014-235.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Medium
基本値: 6.5
現状値: 4.8
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-0065
CVSS v3
リスクファクター: Critical
基本値: 10
現状値: 8.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2014-0066
脆弱性情報
CPE: p-cpe:/a:miracle:linux:postgresql-devel, p-cpe:/a:miracle:linux:postgresql-python, p-cpe:/a:miracle:linux:postgresql-contrib, p-cpe:/a:miracle:linux:postgresql-pl, p-cpe:/a:miracle:linux:postgresql, p-cpe:/a:miracle:linux:postgresql-server, p-cpe:/a:miracle:linux:postgresql-docs, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:postgresql-libs, p-cpe:/a:miracle:linux:postgresql-tcl
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/4/10
脆弱性公開日: 2014/2/17
参照情報
CVE: CVE-2014-0060, CVE-2014-0061, CVE-2014-0062, CVE-2014-0063, CVE-2014-0064, CVE-2014-0065, CVE-2014-0066