検出

FreeBSD:databases/postgresql*-server -- 複数の脆弱性(07234e78-e899-11e1-b38d-0023ae8e59f0)

medium Nessus プラグイン ID 61586

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

PostgreSQL グローバル開発グループによる報告:

PostgreSQL Global Development Group は、バージョン 9.1.5、9.0.9、8.4.13、および 8.3.20 を含む、PostgreSQL データベースシステムの全ての有効なブランチに対するセキュリティ更新を本日リリースしました。この更新は、libxml2 および libxslt に関連するセキュリティホールにパッチを適用します。これは他のオープンソースプロジェクトに影響を及ぼすセキュリティホールに類似しています。全ユーザーは、インストールを早急に更新することが推奨されます。

ビルトインの XML 機能を利用して外部 DTD を認証しているユーザーは、回避策を実装する必要があります。これは、このセキュリティパッチによって当該の機能が無効になるためです。xslt_process() を使用して外部 URL からドキュメントやスタイルシートを取得しているユーザーは、今後はこれらの操作が不可能になります。PostgreSQL プロジェクトは、弊社のセキュリティ基準を満たすためにこれらの機能を無効にする必要があることを残念に思っています。XML でのこれらのセキュリティ問題は、Webkit(CVE-2011-1774)、XMLsec(CVE-2011-1425)および PHP5(CVE-2012-0057)プロジェクトによって最近パッチが適用された問題と非常に類似しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://www.postgresql.org/about/news/1407/

http://www.nessus.org/u?32ad7cf3

プラグインの詳細

深刻度: Medium

ID: 61586

ファイル名: freebsd_pkg_07234e78e89911e1b38d0023ae8e59f0.nasl

バージョン: 1.14

タイプ: local

公開日: 2012/8/20

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.9

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:postgresql-server, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2012/8/17

脆弱性公開日: 2012/8/17

参照情報

CVE: CVE-2012-3488, CVE-2012-3489