Amazon Linux AMI:postgresql (ALAS-2011-12)

medium Nessus プラグイン ID 69571

概要

リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。

説明

Blowfish のハッシングを使用している時に crypt() 関数が PostgreSQL pgcrypto モジュールでパスワードの 8 ビット文字を処理する方法に符号の問題が見つかりました。非 ASCII 文字 (高ビットセットの文字) の直前にある最大 3 つまでの文字が、ハッシュ結果に影響せず、有効なパスワードの長さが短くなります。これにより、いくつかの異なるパスワードが同じ値にハッシュ化されるため、ブルートフォース推測がより効率的になりました。 (CVE-2011-2483)

注:CVE-2011-2483 の修正により、この更新内容をインストールした後、一部のユーザーは、PostgreSQL crypt() 関数を使用して Blowfish によりハッシュされたユーザーパスワードをバックエンド PostgreSQL データベースに保存するアプリケーションにログインできないことがあります。パスワードのハッシュプレフィックスを「$2x$」に変更することにより安全でないプロセスが特定のパスワードに対して再度有効となる可能性があります (これにより影響を受けるユーザーがログインできるようになります) 。

ソリューション

「yum update postgresql」を実行してシステムを更新してください。

関連情報

https://alas.aws.amazon.com/ALAS-2011-12.html

プラグインの詳細

深刻度: Medium

ID: 69571

ファイル名: ala_ALAS-2011-12.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2013/9/4

更新日: 2018/4/18

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:amazon:linux:postgresql, p-cpe:/a:amazon:linux:postgresql-contrib, p-cpe:/a:amazon:linux:postgresql-debuginfo, p-cpe:/a:amazon:linux:postgresql-devel, p-cpe:/a:amazon:linux:postgresql-docs, p-cpe:/a:amazon:linux:postgresql-libs, p-cpe:/a:amazon:linux:postgresql-plperl, p-cpe:/a:amazon:linux:postgresql-plpython, p-cpe:/a:amazon:linux:postgresql-pltcl, p-cpe:/a:amazon:linux:postgresql-server, p-cpe:/a:amazon:linux:postgresql-test, cpe:/o:amazon:linux

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2011/10/31

参照情報

CVE: CVE-2011-2483

ALAS: 2011-12

RHSA: 2011:1377