PostgreSQL 9.0 < 9.0.20 / 9.1 < 9.1.16 / 9.2 < 9.2.11 / 9.3 < 9.3.7 / 9.4 < 9.4.2 の複数の脆弱性
critical Nessus プラグイン ID 83818
Language:
概要
リモートデータベースサーバーは、複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている PostgreSQL のバージョンは、9.0.20 より前の 9.0.x、9.1.16 より前の 9.1.x、9.2.11 より前の 9.2.x、9.3.7 より前の 9.3.x、または 9.4.2 より前の 9.4.x です。したがって、以下の複数の脆弱性による影響を受けます:- 認証タイムアウト後にメモリの二重解放のエラーが存在します。リモートの攻撃者は、これを利用して、プログラムをクラッシュさせることができます。(CVE-2015-3165)
- エラーチェックの失敗による欠陥が、print() 関数に存在しています。リモートの攻撃者が、これを利用して、機密情報にアクセスする可能性があります。(CVE-2015-3166)
- pgcrypto に、間違ったキーによる復号化に関する複数のエラーメッセージがあります。リモートの攻撃者がこれを利用して、他のシステムから鍵を復元する可能性があります。(CVE-2015-3167)
ソリューション
PostgreSQL 9.0.20 / 9.1.16 / 9.2.11 / 9.3.7 / 9.4.2 またはそれ以降にアップグレードしてください。参考資料
https://www.postgresql.org/about/news/1587/
https://www.postgresql.org/docs/9.0/release-9-0-20.html
https://www.postgresql.org/docs/9.1/release-9-1-16.html
https://www.postgresql.org/docs/9.2/release-9-2-11.html
http://www.postgresql.org/docs/9.3/static/release-9-3-7.html
プラグインの詳細
深刻度: Critical
ID: 83818
ファイル名: postgresql_20150522.nasl
バージョン: 1.14
タイプ: local
ファミリー: Databases
公開日: 2015/5/27
更新日: 2023/4/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2015-3166
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:postgresql:postgresql
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/5/22
脆弱性公開日: 2015/5/22