検出

FreeBSD:PostgreSQL -- 匿名のリモートアクセスによるデータ破損の脆弱性(3f332f16-9b6b-11e2-8fe9-08002798f6ff)

high Nessus プラグイン ID 65841

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

PostgreSQL プロジェクトによる報告:

PostgreSQL Global Development Group は、バージョン 9.2.4、9.1.9、9.0.13、および 8.4.17 を含む、現在のすべてのバージョンの PostgreSQL データベースシステムに対するセキュリティ更新をリリースしました。この更新では、バージョン 9.0 以降の高露出のセキュリティの脆弱性を修正します。影響を受けるバージョンの全ユーザーは、*速やかに*
この更新を適用することが強く推奨されます。

このリリースで修正された重大なセキュリティ問題(バージョン 9.x のみ)[CVE-2013-1899](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899)
は、「-」で始まるデータベース名を含む接続リクエストを、サーバーのデータディレクトリ内のファイルを破損または破壊できるように細工することを可能にします。PostgreSQL サーバーがリッスンするポートにアクセスできるすべての者が、このリクエストを開始できます。
この問題は、NTT OSS センタの Mitsumasa Kondo 氏および Kyotaro Horiguchi 氏によって発見されました。

また、このリリースには次の 2 つのより軽微なセキュリティ修正も含まれています:
[CVE-2013-1900](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900)
contrib/pgcrypto 関数によって生成された乱数は、他のデータベースユーザーによる推測が簡単である可能性があります(全バージョン)[CVE-2013-1901]
(http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1901)権限のないユーザーが、進行中のバックアップに干渉する可能性があるコマンドを実行することを誤って許可します(バージョン 9.x のみ)。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?3580c920

プラグインの詳細

深刻度: High

ID: 65841

ファイル名: freebsd_pkg_3f332f169b6b11e28fe908002798f6ff.nasl

バージョン: 1.12

タイプ: local

公開日: 2013/4/8

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 8.5

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:postgresql-server, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2013/4/4

脆弱性公開日: 2013/4/4

参照情報

CVE: CVE-2013-1899, CVE-2013-1900, CVE-2013-1901