Amazon Linux AMI:postgresql9 (ALAS-2012-121)
medium Nessus プラグイン ID 69611
Language:
概要
リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。説明
PostgreSQL の 8.3.20より前の 8.3、8.4.13 より前の 8.4、9.0.9 より前の 9.0、および 9.1.5より前の 9.1では、contrib/xml2 における libxslt サポートが、ファイルおよび URL へのアクセスを適切に制限しません。このため、リモートの認証された攻撃者が、 (1) libxslt セキュリティオプションにより許可されているスタイルシートコマンド、または (2) xslt_process 機能を利用することで、データを改ざんしたり、機密情報を取得したり、任意の外部ホストへの発信トラフィックを発生させたりする可能性があります。これは、XML 外部エンティティ (別名 XXE) 問題に関係します。ソリューション
「yum update postgresql9」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 69611
ファイル名: ala_ALAS-2012-121.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
公開日: 2013/9/4
更新日: 2018/4/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.0
CVSS v2
リスクファクター: Medium
基本値: 4.9
ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:amazon:linux:postgresql9, p-cpe:/a:amazon:linux:postgresql9-contrib, p-cpe:/a:amazon:linux:postgresql9-debuginfo, p-cpe:/a:amazon:linux:postgresql9-devel, p-cpe:/a:amazon:linux:postgresql9-docs, p-cpe:/a:amazon:linux:postgresql9-libs, p-cpe:/a:amazon:linux:postgresql9-plperl, p-cpe:/a:amazon:linux:postgresql9-plpython, p-cpe:/a:amazon:linux:postgresql9-pltcl, p-cpe:/a:amazon:linux:postgresql9-server, p-cpe:/a:amazon:linux:postgresql9-test, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2012/9/4
参照情報
CVE: CVE-2012-3488
ALAS: 2012-121