偵測

MiracleLinux 3postgresql-8.1.23-10.0.1.AXS3 (AXSA:2014-235:01)

critical Nessus Plugin ID 289133

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2014-235:01 公告中所提及。

 PostgreSQL 是一種進階的物件關聯式資料庫管理系統 (DBMS)其支援幾乎所有 SQL 建構 (包括交易、子選取以及使用者定義的類型與函式)。postgresql 套件包含存取 PostgreSQL DBMS 伺服器所需的用戶端程式和程式庫。
 這些 PostgreSQL 用戶端程式是在 PostgreSQL 伺服器上直接操控 PostgreSQL 資料庫內部結構的程式。這些用戶端程式可位於與 PostgreSQL 伺服器相同的機器上或位於可透過網路連線存取 PostgreSQL 伺服器的遠端機器上。此套件包含整個套件的 HTML 文件以及用於管理 PostgreSQL 伺服器上 PostgreSQL 資料庫的命令行公用程式。
 如果您想要在本機或遠端 PostgreSQL 伺服器上操控 PostgreSQL 資料庫則需要此套件。如果您要安裝 postgresql-server 套件也需要安裝此套件。
 此版本修正的安全性問題
 CVE-2014-0060 在 8.4.20之前的 PostgreSQL、 9.0.x 之前的 9.0.16、 9.1.x 之前的 9.1.12、 9.2.x 之前的 9.2.7以及 9.3.x 之前的 9.3.3 未正確強制執行 ADMIN OPTION 限制或在相關聯的 GRANT 命令前呼叫 SET ROLE 命令移除該角色的任意使用者。
 CVE-2014-0061 在 8.4.20之前的 9.0.x 之前的 9.0.16、 9.1.x 之前的 9.1.12、 9.2.x 之前的 9.2.7和 9.3.x 之前的 [ 9.3.3 的 PostgreSQL 中程序語言 (PL) 的驗證器函式允許遠端經過驗證的使用者透過下列方式取得權限函式 (1) 以其他語言定義或 (2) 由於權限而不允許使用者直接呼叫的函式。
 CVE-2014-0062 截至本文撰寫時尚無可用資訊請參閱下方提供的 CVE 連結。
 CVE-2014-0063 在 8.4.20之前的 9.0.x 之前的 9.0.16、 9.1.x 之前的 9.1.12、 9.2.x 之前的 9.2.7] 以及 9.3.x 之前的 9.3.3 的 PostgreSQL 中多個堆疊型緩衝區溢位允許經驗證的遠端使用者造成拒絕服務 (當機) 或可能透過與錯誤 MAXDATELEN 常數和涉及 (1) 間隔、(2) 時間戳記或 (3) 時區的日期時間值相關的向量執行任意程式碼此弱點與 CVE-2014-0065不同。
 CVE-2014-0064 在 之前的 PostgreSQL、 8.4.209.0.x 之前的 9.0.16、 9.1.x 之前的 9.1.12、 9.2.x 之前的 9.2.7] 和 9.3.x 之前的 9.3.3 中的 path_in 和其他不明函式允許經驗證的遠端使用者造成不明影響和攻擊向量其會觸發緩衝區溢位。注意:
 此識別碼已因受影響版本不同而遭到分割針對 hstore 向量使用 CVE-2014-2669 。
 CVE-2014-0065 在 之前的 PostgreSQL、 8.4.209.0.x 之前的 9.0.16、 9.1.x 之前的 9.1.12、 9.2.x 之前的 9.2.7和 9.3.x 之前的 9.3.3 中的多個緩衝區溢位允許經驗證的遠端使用者造成不明影響和攻擊向量即不同弱點比 CVE-2014-0063。
 CVE-2014-0066 在 之前的 PostgreSQL、 8.4.209.0.x 之前的 9.0.16、 9.1.x 之前的 9.1.12、 9.2.x 之前的 9.2.7以及 9.3.x 之前的 9.3.3 中的 chkpass 延伸未正確檢查 crypt 程式庫函式的傳回值其允許遠端經過驗證的使用者可透過不明向量造成拒絕服務 (NULL 指標解除參照與損毀)。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/4671

Plugin 詳細資訊

嚴重性: Critical

ID: 289133

檔案名稱: miracle_linux_AXSA-2014-235.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: High

CVSS v2

風險因素: Medium

基本分數: 6.5

時間性分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2014-0065

CVSS v3

風險因素: Critical

基本分數: 10

時間性分數: 8.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2014-0066

弱點資訊

CPE: p-cpe:/a:miracle:linux:postgresql-devel, p-cpe:/a:miracle:linux:postgresql-python, p-cpe:/a:miracle:linux:postgresql-contrib, p-cpe:/a:miracle:linux:postgresql-pl, p-cpe:/a:miracle:linux:postgresql, p-cpe:/a:miracle:linux:postgresql-server, p-cpe:/a:miracle:linux:postgresql-docs, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:postgresql-libs, p-cpe:/a:miracle:linux:postgresql-tcl

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/4/10

弱點發布日期: 2014/2/17

參考資訊

CVE: CVE-2014-0060, CVE-2014-0061, CVE-2014-0062, CVE-2014-0063, CVE-2014-0064, CVE-2014-0065, CVE-2014-0066