PostgreSQL 8.3 < 8.3.19 / 8.4 < 8.4.12 / 9.0 < 9.0.8 / 9.1 < 9.1.4 の複数の脆弱性

high Nessus プラグイン ID 63353

概要

リモートデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている PostgreSQL のバージョンが 8.3.19 より前の 8.3.x、8.4.12 より前の 8.4.x、9.0.8 より前の 9.0.x、9.1.4 より前の 9.1.x です。したがって、次の複数の脆弱性による影響を受ける可能性があります。

- pgcrypto の crypt() 関数に渡されるバイト 0x80 を含むパスワードは、DES 暗号化が使用された場合、不適切に切り捨てられます。(CVE-2012-2143)

- プロシージャコールハンドラーの SECURITY_DEFINER および SET 属性は無視されず、サーバーをクラッシュさせるために利用される可能性があります。(CVE-2012-2655)

ソリューション

PostgreSQL 8.3.19 / 8.4.12 / 9.0.8 / 9.1.4 以降にアップグレードしてください。

関連情報

https://www.postgresql.org/about/news/1398/

https://www.postgresql.org/docs/8.3/release-8-3-19.html

https://www.postgresql.org/docs/8.4/release-8-4-12.html

https://www.postgresql.org/docs/9.0/release-9-0-8.html

https://www.postgresql.org/docs/9.1/release-9-1-4.html

プラグインの詳細

深刻度: High

ID: 63353

ファイル名: postgresql_20120604.nasl

バージョン: 1.14

タイプ: local

ファミリー: Databases

公開日: 2012/12/28

更新日: 2022/4/11

リスク情報

CVSS スコアのソース: CVE-2012-2143

VPR

リスクファクター: Medium

スコア: 4

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.2

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:postgresql:postgresql

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/5/30

脆弱性公開日: 2012/5/31

参照情報

CVE: CVE-2012-2143, CVE-2012-2655

BID: 53729, 53812