Amazon Linux AMI:postgresql9 (ALAS-2013-178)
high Nessus プラグイン ID 69737
Language:
概要
リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。説明
PostgreSQL 9.2.4より前の 9.2.x、9.1.9 より前の 9.1.x、9.0.13 より前の 9.0.xにおける引数インジェクションの脆弱性により、リモートの攻撃者は サービス拒否 (ファイル破損) を引き起こす可能性があります。これにより、リモートの認証されたユーザーは、データベース名が「-」 (ハイフン) で始まる接続リクエストを通じて構成設定を変更し、任意のコードを実行する可能性があります。PostgreSQL 9.2.4より前の 9.2.x、9.1.9 より前の 9.1.xは REPLICATION 権限を適切にチェックしないため、リモートの認証されたユーザーが (1) pg_start_backup 関数あるいは (2) pg_stop_backup 関数を呼び出し、意図されたバックアップ制限をバイパスする可能性があります。
PostgreSQL 9.2.4より前の 9.2.x、9.1.9 より前の 9.1.x、9.0.13 より前の 9.0.x、8.4.17 より前の 8.4.xは、OpenSSL を使用している時、不十分な乱数を作成します。これにより、リモートの認証されたユーザーが「contrib/pgcrypto functions」に関連するベクターを通じて詳細不明の影響を与える可能性があります。
ソリューション
「yum update postgresql9」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 69737
ファイル名: ala_ALAS-2013-178.nasl
バージョン: 1.12
タイプ: local
エージェント: unix
公開日: 2013/9/4
更新日: 2018/4/18
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 8.5
ベクトル: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:postgresql9, p-cpe:/a:amazon:linux:postgresql9-contrib, p-cpe:/a:amazon:linux:postgresql9-debuginfo, p-cpe:/a:amazon:linux:postgresql9-devel, p-cpe:/a:amazon:linux:postgresql9-docs, p-cpe:/a:amazon:linux:postgresql9-libs, p-cpe:/a:amazon:linux:postgresql9-plperl, p-cpe:/a:amazon:linux:postgresql9-plpython, p-cpe:/a:amazon:linux:postgresql9-pltcl, p-cpe:/a:amazon:linux:postgresql9-server, p-cpe:/a:amazon:linux:postgresql9-test, p-cpe:/a:amazon:linux:postgresql9-upgrade, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2013/4/4
参照情報
CVE: CVE-2013-1899, CVE-2013-1900, CVE-2013-1901
ALAS: 2013-178