偵測

MiracleLinux 3postgresql-8.1.21-1.1.0.1.AXS3 (AXSA:2010-289:01)

medium Nessus Plugin ID 284414

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到 AXSA:2010-289:01 公告中所提及的多個弱點影響的套件。

 PostgreSQL 是一種進階的物件關聯式資料庫管理系統 (DBMS)其支援幾乎所有 SQL 建構 (包括交易、子選取以及使用者定義的類型與函式)。postgresql 套件包含存取 PostgreSQL DBMS 伺服器所需的用戶端程式和程式庫。
 這些 PostgreSQL 用戶端程式是在 PostgreSQL 伺服器上直接操控 PostgreSQL 資料庫內部結構的程式。這些用戶端程式可位於與 PostgreSQL 伺服器相同的機器上或位於可透過網路連線存取 PostgreSQL 伺服器的遠端機器上。此套件包含整個套件的 HTML 文件以及用於管理 PostgreSQL 伺服器上 PostgreSQL 資料庫的命令行公用程式。
 如果您想要在遠端 PostgreSQL 伺服器上操控 PostgreSQL 資料庫則需要此套件。如果您要安裝 postgresql-server 套件也需要安裝此套件。
 此版本修正的安全性問題
 CVE-2009-4136 在 7.4.x 之前的 7.4.27、 8.0.x 之前的 8.0.23、 8.1.x 之前的 8.1.19、 8.2.x 之前的 8.2.15、 8.3.x 之前的 8.3.9以及 8.4.x 之前的 8.4.2 在執行 的期間未正確管理工作階段本機狀態由資料庫超級使用者執行索引函式其允許經驗證的遠端使用者透過具有特製索引函式的表格取得權限修改 (1) search_path 或 (2) prepare 陳述式的函式即為一例此問題與 CVE-2007-6600 和 CVE-2009-3230。
 CVE-2010-0442 在 PostgreSQL 8.0.23、 8.1.11和 8.3.8 中backend/utils/adt/varbit.c 的 bitsubstr 函式可讓經驗證的遠端使用者透過涉及負值的向量造成拒絕服務 (程序損毀) 或造成其他不明影響第三個引數中的整數包含針對位元字串的子字串函式呼叫的 SELECT 陳述式即為一例此弱點與「溢位」有關。 CVE-2010-0733 在 PostgreSQL 8.4.1 和更舊版本以及 8.5 到 8.5alpha2 的 PostgreSQL 中src/backend/executor/nodeHash.c 中的整數溢位允許經驗證的遠端使用者透過含有多個 LEFT JOIN 的 SELECT 陳述式造成拒絕服務 (程序損毀)子句中的某個弱點與特定雜湊表大小計算有關。
 CVE-2010-1169 PostgreSQL 7.4 之前的 7.4.29、 8.0 之前的 8.0.25、 8.1 之前的 8.1.21、 8.2 之前的 8.2.17、 8.3 之前的 8.3.11、 8.4 之前的 8.4.4]以及 9.0 之前的 9.0 Beta Beta 2 沒有正確限制 PL/perl 程序其允許經驗證的遠端使用者擁有資料庫建立權限透過特製的指令碼執行任意 Perl 程式碼這與 Perl 的 Safe 模組 (即 Safe.pm) 相關。
 CVE-2010-1170 PostgreSQL 中的 PL/Tcl 實作 7.4 之前的 7.4.29、 8.0 之前的 8.0.25、 8.1 之前的 8.1.21、 8.2 之前的 8.2.17、 8.3 之前的 8.3.11、 8.4 ] 之前的 8.4.4和 9.0 之前的 Beta 9.0 無論 pltcl_modules 表格的擁有權和權限為何Beta 2 都會從該表格載入 Tcl 程式碼進而允許具有資料庫建立權限的遠端經過驗證的使用者透過建立此表格並插入特製 Tcl 指令碼的方式執行任意 Tcl 程式碼。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/1446

Plugin 詳細資訊

嚴重性: Medium

ID: 284414

檔案名稱: miracle_linux_AXSA-2010-289.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 8.5

時間性分數: 6.7

媒介: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2010-1169

CVSS v3

風險因素: Medium

基本分數: 6.5

時間性分數: 5.9

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2010-0733

弱點資訊

CPE: p-cpe:/a:miracle:linux:postgresql-docs, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:postgresql-libs, p-cpe:/a:miracle:linux:postgresql-devel, p-cpe:/a:miracle:linux:postgresql-python, p-cpe:/a:miracle:linux:postgresql-contrib, p-cpe:/a:miracle:linux:postgresql-pl, p-cpe:/a:miracle:linux:postgresql, p-cpe:/a:miracle:linux:postgresql-server, p-cpe:/a:miracle:linux:postgresql-tcl

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2010/5/28

弱點發布日期: 2009/10/28

參考資訊

CVE: CVE-2009-4136, CVE-2010-0442, CVE-2010-0733, CVE-2010-1169, CVE-2010-1170