検出

Scientific Linux セキュリティ更新:SL6.x i386/x86_64 の postgresql と postgresql84

medium Nessus プラグイン ID 61353

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

PostgreSQL は、高度なオブジェクトリレーショナルデータベース管理システム(DBMS)です。

PostgreSQL のオプションの pgcrypto contrib モジュールからの crypt() パスワードハッシュ化関数が DES アルゴリズムと組み合わせて使用されたときにパスワード変換を実行する方法で、欠陥が見つかりました。ハッシュ化されるパスワードに 0x80 バイト値が含まれる場合に、ハッシュを計算するときに文字列の残りが無視されていて、パスワードの強度が大幅に低下していました。これにより、パスワード全体が必要でなくなるため、保護されたリソースにアクセスするためのブルートフォース用の推測がより効率的になります。(CVE-2012-2143)

注:この更新により、文字列の残りの部分が適切に DES ハッシュに含まれるようになるため、以前に保存したパスワードの値でこの問題による影響を受けるものは今後一致しなくなります。このような場合、保存されているパスワードハッシュを更新する必要があります。

PostgreSQL サーバーが、SECURITY DEFINER または SET 属性を手続き型言語(PL/Perl や PL/Python など)の呼び出しハンドラー関数に適用するときに、ユーザー権限チェックを実行する方法でサービス拒否の欠陥が見つかりました。スーパーユーザーでないデータベースのオーナーが、この欠陥を利用して、無限再帰により PostgreSQL サーバーをクラッシュさせる可能性があります。(CVE-2012-2655)

これらの更新済みパッケージは、PostgreSQL をバージョン 8.4.12 にアップグレードします。これにより、これらの問題といくつかのセキュリティ以外の問題が修正されます。変更の完全なリストについては、「PostgreSQL リリースノート」を参照してください:

http://www.postgresql.org/docs/8.4/static/release.html

PostgreSQL の全ユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。postgresql サービスが実行中の場合、この更新のインストール後に自動的に再起動されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://www.postgresql.org/docs/8.4/release.html

http://www.nessus.org/u?f0c2d293

プラグインの詳細

深刻度: Medium

ID: 61353

ファイル名: sl_20120625_postgresql_and_postgresql84_on_SL6_x.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

基本値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:postgresql, p-cpe:/a:fermilab:scientific_linux:postgresql-contrib, p-cpe:/a:fermilab:scientific_linux:postgresql-debuginfo, p-cpe:/a:fermilab:scientific_linux:postgresql-devel, p-cpe:/a:fermilab:scientific_linux:postgresql-docs, p-cpe:/a:fermilab:scientific_linux:postgresql-libs, p-cpe:/a:fermilab:scientific_linux:postgresql-plperl, p-cpe:/a:fermilab:scientific_linux:postgresql-plpython, p-cpe:/a:fermilab:scientific_linux:postgresql-pltcl, p-cpe:/a:fermilab:scientific_linux:postgresql-server, p-cpe:/a:fermilab:scientific_linux:postgresql-test, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2012/6/25

脆弱性公開日: 2012/7/5

参照情報

CVE: CVE-2012-2143, CVE-2012-2655