検出

Amazon Linux AMI:postgresql92 / postgresql93、postgresql94(ALAS-2015-609)

medium Nessus プラグイン ID 86771

Language:

概要

リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。

説明

9.3.10 より前の 9.3.x の PostgreSQL、および 9.4.5 より前の 9.4.x の PostgreSQL における json 解析での複数のスタックベースのバッファオーバーフローにより、攻撃者が詳細不明なベクトルを介して、サービス拒否(サーバークラッシュ)を引き起こす可能性があります。これらのバッファオーバーフローは、(1) json 値または (2) jsonb 値で適切に処理されません。
(CVE-2015-5289)

9.0.23 より前の PostgreSQL、9.1.19 より前の 9.1.x の PostgreSQL、9.2.14 より前の 9.2.x の PostgreSQL、9.3.10 より前の 9.3.x の PostgreSQL、および 9.4.5 より前の 9.4.x の PostgreSQL における、contrib/pgcrypto の crypt 関数により、攻撃者がサービス拒否(サーバークラッシュ)を引き起こしたり、「too-short」salt を介して、任意のサーバーメモリの読み取りを行ったりする可能性があります。
(CVE-2015-5288)

ソリューション

「yum update postgresql92」を実行してシステムを更新してください。

「yum update postgresql93」を実行してシステムを更新してください。

「yum update postgresql94」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/ALAS-2015-609.html

プラグインの詳細

深刻度: Medium

ID: 86771

ファイル名: ala_ALAS-2015-609.nasl

バージョン: 2.5

タイプ: local

エージェント: unix

公開日: 2015/11/6

更新日: 2018/4/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

基本値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:amazon:linux:postgresql92, p-cpe:/a:amazon:linux:postgresql92-contrib, p-cpe:/a:amazon:linux:postgresql92-debuginfo, p-cpe:/a:amazon:linux:postgresql92-devel, p-cpe:/a:amazon:linux:postgresql92-docs, p-cpe:/a:amazon:linux:postgresql92-libs, p-cpe:/a:amazon:linux:postgresql92-plperl, p-cpe:/a:amazon:linux:postgresql92-plpython26, p-cpe:/a:amazon:linux:postgresql92-plpython27, p-cpe:/a:amazon:linux:postgresql92-pltcl, p-cpe:/a:amazon:linux:postgresql92-server, p-cpe:/a:amazon:linux:postgresql92-server-compat, p-cpe:/a:amazon:linux:postgresql92-test, p-cpe:/a:amazon:linux:postgresql93, p-cpe:/a:amazon:linux:postgresql93-contrib, p-cpe:/a:amazon:linux:postgresql93-debuginfo, p-cpe:/a:amazon:linux:postgresql93-devel, p-cpe:/a:amazon:linux:postgresql93-docs, p-cpe:/a:amazon:linux:postgresql93-libs, p-cpe:/a:amazon:linux:postgresql93-plperl, p-cpe:/a:amazon:linux:postgresql93-plpython26, p-cpe:/a:amazon:linux:postgresql93-plpython27, p-cpe:/a:amazon:linux:postgresql93-pltcl, p-cpe:/a:amazon:linux:postgresql93-server, p-cpe:/a:amazon:linux:postgresql93-test, p-cpe:/a:amazon:linux:postgresql94, p-cpe:/a:amazon:linux:postgresql94-contrib, p-cpe:/a:amazon:linux:postgresql94-debuginfo, p-cpe:/a:amazon:linux:postgresql94-devel, p-cpe:/a:amazon:linux:postgresql94-docs, p-cpe:/a:amazon:linux:postgresql94-libs, p-cpe:/a:amazon:linux:postgresql94-plperl, p-cpe:/a:amazon:linux:postgresql94-plpython26, p-cpe:/a:amazon:linux:postgresql94-plpython27, p-cpe:/a:amazon:linux:postgresql94-pltcl, p-cpe:/a:amazon:linux:postgresql94-server, p-cpe:/a:amazon:linux:postgresql94-test, cpe:/o:amazon:linux

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2015/11/5

参照情報

CVE: CVE-2015-5288, CVE-2015-5289

ALAS: 2015-609