MiracleLinux 7rh-postgresql95-postgresql-9.5.7-2.el7AXSA:2017-1726:01
high Nessus プラグイン ID 289822
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 7ホストには、AXSA:2017-1726:01アドバイザリに記載されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。PostgreSQL は、高度なオブジェクトリレーショナルデータベース管理システム (DBMS) です。
基本の postgresql パッケージには、PostgreSQL DBMS サーバーにアクセスするために必要なクライアントプログラムと、システム全体の HTML ドキュメントが含まれています。これらのクライアントプログラムは、PostgreSQL サーバーと同じマシン上、または、ネットワーク接続により PostgreSQL サーバーにアクセスするリモートマシン上にも配置できます。PostgreSQL サーバーは、postgresql-server サブパッケージに含まれています。
このリリースで修正されたセキュリティ問題
CVE-2017-7484 より前の PostgreSQL、 9.2.21] より前の [ 9.3.x 、 9.3.17より前の 9.4.129.4.x 、 9.5.x9.5.7より前の []、[] より前の 9.6.x9.6.3 の PostgreSQL の一部の選択性推定関数が、pg_statistic からの情報を提供する前にユーザー権限をチェックしていないことが判明しました。情報漏洩を引き起こす可能性があります。
権限のない攻撃者がこの欠陥を悪用して、権限がなければアクセスできないテーブルから情報を盗む可能性があります。
CVE-2017-7485 より前の PostgreSQL 9.3.x 、 9.3.179.4.x より前の 9.4.12、 9.5.x より前の 9.5.7]、 9.6.x より前の 9.6.3において、PGREQUIRESSL環境変数が PostgreSQL サーバーへの SSL/TLS 接続を強制していないことが判明しました。 。中間にいる攻撃者がこの欠陥を悪用し、クライアントとサーバーの間での接続から、SSL/TLS保護を除外する可能性があります。
CVE-2017-7486 PostgreSQL バージョン 8.4 - 9.6 は pg_user_mappings ビューで情報漏洩に脆弱です。これにより、外部サーバーのパスワードが、関連する外部サーバー上で USAGE 権限を持つユーザーに漏洩します。
次のパッケージが新しいアップストリームバージョンにアップグレードされました: rh-postgresql95-postgresql (9.5.7)。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 289822
ファイル名: miracle_linux_AXSA-2017-1726.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2017-7486
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-server, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-test, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-libs, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-plpython, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-static, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-pltcl, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-devel, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-contrib, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-docs, p-cpe:/a:miracle:linux:rh-postgresql95-postgresql-plperl
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2017/7/5
脆弱性公開日: 2017/5/11