Amazon Linux AMI:postgresql9 (ALAS-2012-121)

medium Nessus プラグイン ID 69611

概要

リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。

説明

PostgreSQL の 8.3.20より前の 8.3、8.4.13 より前の 8.4、9.0.9 より前の 9.0、および 9.1.5より前の 9.1では、contrib/xml2 における libxslt サポートが、ファイルおよび URL へのアクセスを適切に制限しません。このため、リモートの認証された攻撃者が、 (1) libxslt セキュリティオプションにより許可されているスタイルシートコマンド、または (2) xslt_process 機能を利用することで、データを改ざんしたり、機密情報を取得したり、任意の外部ホストへの発信トラフィックを発生させたりする可能性があります。これは、XML 外部エンティティ (別名 XXE) 問題に関係します。

ソリューション

「yum update postgresql9」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/ALAS-2012-121.html

プラグインの詳細

深刻度: Medium

ID: 69611

ファイル名: ala_ALAS-2012-121.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2013/9/4

更新日: 2018/4/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.0

CVSS v2

リスクファクター: Medium

基本値: 4.9

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:amazon:linux:postgresql9, p-cpe:/a:amazon:linux:postgresql9-contrib, p-cpe:/a:amazon:linux:postgresql9-debuginfo, p-cpe:/a:amazon:linux:postgresql9-devel, p-cpe:/a:amazon:linux:postgresql9-docs, p-cpe:/a:amazon:linux:postgresql9-libs, p-cpe:/a:amazon:linux:postgresql9-plperl, p-cpe:/a:amazon:linux:postgresql9-plpython, p-cpe:/a:amazon:linux:postgresql9-pltcl, p-cpe:/a:amazon:linux:postgresql9-server, p-cpe:/a:amazon:linux:postgresql9-test, cpe:/o:amazon:linux

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2012/9/4

参照情報

CVE: CVE-2012-3488

ALAS: 2012-121