Oracle Linux 4/5:postgresql(ELSA-2008-0038)

high Nessus プラグイン ID 67638

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2008:0038 から:

いくつかのセキュリティの問題を修正する更新済みの postgresql パッケージが、Red Hat Enterprise Linux 4 および 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

PostgreSQL は、高度なオブジェクトリレーショナルデータベース管理システム(DBMS)です。postgresql パッケージには、PostgreSQL DBMS サーバーへのアクセスに必要なクライアントプログラムおよびライブラリが含まれています。

Will Drewry が、PostgreSQL の正規表現エンジンに複数の欠陥を見つけました。認証された攻撃者が、この欠陥を悪用して、特別に細工された正規表現が含まれるクエリの処理中に PostgreSQL サーバーをクラッシュさせる、無限ループになるようにする、または過度の CPU およびメモリリソースを使用することで、サービス拒否を発生させる可能性があります。信頼されていないソースからの正規表現を受け入れるアプリケーションでは、不正な攻撃者に対してこの問題が顕在化する可能性があります。
(CVE-2007-4769、 CVE-2007-4772、CVE-2007-6067)

PostgreSQL に権限昇格の欠陥が発見されました。認証された攻撃者が、データベースのバキュームなどのデータベースメンテナンスタスク中に管理者の権限で実行される index 関数を作成する可能性があります。(CVE-2007-6600)

PostgreSQL のデータベースリンクライブラリ(dblink)に権限昇格の欠陥が見つかりました。認証された攻撃者が dblink を悪用して、「trust」または「ident」認証が構成されているシステム上で権限を昇格させる可能性があります。dblink 機能はデフォルトでは有効になりません。データベース管理者のみが、postgresql-contrib パッケージがインストールされたシステム上で有効にすることができます。(CVE-2007-3278、 CVE-2007-6601)

postgresql の全ユーザーは、PostgreSQL 7.4.19 および 8.1.11 が含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。

ソリューション

影響を受ける postgresql パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2008-January/000480.html

https://oss.oracle.com/pipermail/el-errata/2008-January/000484.html

プラグインの詳細

深刻度: High

ID: 67638

ファイル名: oraclelinux_ELSA-2008-0038.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2013/7/12

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:postgresql, p-cpe:/a:oracle:linux:postgresql-contrib, p-cpe:/a:oracle:linux:postgresql-devel, p-cpe:/a:oracle:linux:postgresql-docs, p-cpe:/a:oracle:linux:postgresql-jdbc, p-cpe:/a:oracle:linux:postgresql-libs, p-cpe:/a:oracle:linux:postgresql-pl, p-cpe:/a:oracle:linux:postgresql-python, p-cpe:/a:oracle:linux:postgresql-server, p-cpe:/a:oracle:linux:postgresql-tcl, p-cpe:/a:oracle:linux:postgresql-test, cpe:/o:oracle:linux:4, cpe:/o:oracle:linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2008/1/11

脆弱性公開日: 2007/6/19

参照情報

CVE: CVE-2007-3278, CVE-2007-4769, CVE-2007-4772, CVE-2007-6067, CVE-2007-6600, CVE-2007-6601

BID: 27163

CWE: 189, 264, 287, 399

RHSA: 2008:0038