偵測

MiracleLinux 4postgresql-8.4.12-1.0.1.AXS4 (AXSA:2012-661:02)

critical Nessus Plugin ID 283904

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2012-661:02 公告中所提及。

 PostgreSQL 是一種進階的物件關聯式資料庫管理系統 (DBMS)其支援幾乎所有 SQL 建構 (包括交易、子選取以及使用者定義的類型與函式)。postgresql 套件包含存取 PostgreSQL DBMS 伺服器所需的用戶端程式和程式庫。
 這些 PostgreSQL 用戶端程式是在 PostgreSQL 伺服器上直接操控 PostgreSQL 資料庫內部結構的程式。這些用戶端程式可位於與 PostgreSQL 伺服器相同的機器上或位於可透過網路連線存取 PostgreSQL 伺服器的遠端機器上。此套件包含整個套件的 HTML 文件以及用於管理 PostgreSQL 伺服器上 PostgreSQL 資料庫的命令行公用程式。
 如果您想要在遠端 PostgreSQL 伺服器上操控 PostgreSQL 資料庫則需要此套件。如果您要安裝 postgresql-server 套件也需要安裝此套件。
 此版本修正的安全性問題
 CVE-2012-0866 在 PostgreSQL 之前的 8.3.x8.3.18之前的 8.4.x 、[] 之前的 8.4.11、 9.0.x ] 之前的 9.0.7以及 9.1.x 之前的 [] 中的 9.1.3 CREATE TRIGGER 未正確檢查標記為 SECURITY DEFINER 的觸發函式的執行權限其可允許經驗證的遠端使用者在攻擊者擁有的表格上安裝觸發程序可對任意資料執行其他受限的觸發程序。
 CVE-2012-08678.4.x 在[] 之前的 8.4.11、 9.0.x 之前的 9.0.7和 9.1.x 之前的 9.1.3 驗證 SSL 憑證時會將共用名稱截斷為只有 32 個字元進而允許遠端攻擊者在主機名稱正好是 32 個字元時偽造連線。
 CVE-2012-0868 在 PostgreSQL 之前的 8.3.x8.3.18、 8.4.x 之前的 8.4.11、 9.0.x 之前的 9.0.7] 以及 9.1.x ] 之前的 9.1.3 中pg_dump 的 CRLF 插入弱點允許使用者協助的遠端攻擊者透過包含 物件的特製檔案執行任意 SQL 命令名稱中含有新行,這些新行會插入到還原資料庫時所使用的 SQL 指令碼中。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/3176

Plugin 詳細資訊

嚴重性: Critical

ID: 283904

檔案名稱: miracle_linux_AXSA-2012-661.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.5

Vendor

Vendor Severity: High

CVSS v2

風險因素: Medium

基本分數: 6.8

時間性分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2012-0868

CVSS v3

風險因素: Critical

基本分數: 10

時間性分數: 8.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:postgresql-devel, p-cpe:/a:miracle:linux:postgresql-contrib, p-cpe:/a:miracle:linux:postgresql, p-cpe:/a:miracle:linux:postgresql-server, p-cpe:/a:miracle:linux:postgresql-plperl, p-cpe:/a:miracle:linux:postgresql-docs, p-cpe:/a:miracle:linux:postgresql-libs, p-cpe:/a:miracle:linux:postgresql-test, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:postgresql-pltcl, p-cpe:/a:miracle:linux:postgresql-plpython

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/8/13

弱點發布日期: 2012/2/27

參考資訊

CVE: CVE-2012-0866, CVE-2012-0867, CVE-2012-0868