Amazon Linux AMI:postgresql8 (ALAS-2012-94)
medium Nessus プラグイン ID 69701
Language:
概要
リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。説明
PostgreSQL のオプションの pgcrypto contrib モジュールからの crypt() パスワードハッシュ化関数が DES アルゴリズムと組み合わせて使用されたときにパスワード変換を実行する方法で、欠陥が見つかりました。ハッシュ化されるパスワードに 0x80 バイト値が含まれる場合に、ハッシュを計算するときに文字列の残りが無視されていて、パスワードの強度が大幅に低下していました。これにより、パスワード全体が必要でなくなるため、保護されたリソースにアクセスするためのブルートフォース用の推測がより効率的になります。(CVE-2012-2143)注: この更新により、文字列の残りの部分が適切に DES ハッシュに含まれるようになるため、以前に保存したパスワードの値でこの問題による影響を受けるものは今後一致しなくなります。このような場合、保存されているパスワードハッシュを更新する必要があります。
PostgreSQL サーバーが、SECURITY DEFINER または SET 属性を手続き型言語 (PL/Perl や PL/Python など) の呼び出しハンドラー関数に適用するときに、ユーザー権限チェックを実行する方法でサービス拒否の欠陥が見つかりました。スーパーユーザーでないデータベースのオーナーが、この欠陥を利用して、無限再帰により PostgreSQL サーバーをクラッシュさせる可能性があります。(CVE-2012-2655)
ソリューション
「yum update postgresql8」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 69701
ファイル名: ala_ALAS-2012-94.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
公開日: 2013/9/4
更新日: 2018/4/18
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.0
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:amazon:linux:postgresql8, p-cpe:/a:amazon:linux:postgresql8-contrib, p-cpe:/a:amazon:linux:postgresql8-debuginfo, p-cpe:/a:amazon:linux:postgresql8-devel, p-cpe:/a:amazon:linux:postgresql8-docs, p-cpe:/a:amazon:linux:postgresql8-libs, p-cpe:/a:amazon:linux:postgresql8-plperl, p-cpe:/a:amazon:linux:postgresql8-plpython, p-cpe:/a:amazon:linux:postgresql8-pltcl, p-cpe:/a:amazon:linux:postgresql8-server, p-cpe:/a:amazon:linux:postgresql8-test, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2012/7/5
参照情報
CVE: CVE-2012-2143, CVE-2012-2655