RHEL 5:postgresql84 (RHSA-2011:0198)

critical Nessus Plugin ID 51869

概要

遠端 Red Hat 主機缺少 postgresql84 的安全性更新。

說明

遠端 Redhat Enterprise Linux 5 主機上安裝的套件受到 RHSA-2011:0198 公告中提及的弱點影響。

PostgreSQL 是一種進階物件關聯式資料庫管理系統 (DBMS)。

如果在特定資料庫上啟用了 intarray 模組,則會在 PostgreSQL 處理來自 SQL 查詢的特定 Token 的方法中發現堆疊型緩衝區溢位瑕疵。經驗證的資料庫使用者在執行特製的 SQL 查詢時,可利用此瑕疵造成暫時的拒絕服務 (postgres 程序損毀),或者可能利用資料庫伺服器的特權來執行任意程式碼。(CVE-2010-4015)

Red Hat 要感謝 Apple 產品安全性團隊的 Geoff Keating 報告此問題。

這些更新版 postgresql84 套件會將 PostgreSQL 升級至 8.4.7 版。
如需完整變更清單,請參閱 PostgreSQL 版本資訊:

http://www.postgresql.org/docs/8.4/static/release.html

建議所有 PostgreSQL 使用者皆升級至這些更新版套件,以更正此問題。如果 postgresql 服務正在執行中,在安裝此更新之後,它會自動重新啟動。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

根據 RHSA-2011:0198 中的指南更新 RHEL postgresql84 套件。

另請參閱

http://www.nessus.org/u?80a67e64

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=664402

https://access.redhat.com/errata/RHSA-2011:0198

Plugin 詳細資訊

嚴重性: Critical

ID: 51869

檔案名稱: redhat-RHSA-2011-0198.nasl

版本: 1.21

類型: local

代理程式: unix

已發布: 2011/2/4

已更新: 2024/11/4

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.5

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 6.5

時間性分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2010-4015

CVSS v3

風險因素: Critical

基本分數: 10

時間性分數: 8.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:postgresql84-devel, p-cpe:/a:redhat:enterprise_linux:postgresql84-docs, p-cpe:/a:redhat:enterprise_linux:postgresql84-server, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:postgresql84-plperl, p-cpe:/a:redhat:enterprise_linux:postgresql84-contrib, p-cpe:/a:redhat:enterprise_linux:postgresql84-tcl, p-cpe:/a:redhat:enterprise_linux:postgresql84-pltcl, p-cpe:/a:redhat:enterprise_linux:postgresql84-plpython, p-cpe:/a:redhat:enterprise_linux:postgresql84-test, p-cpe:/a:redhat:enterprise_linux:postgresql84, p-cpe:/a:redhat:enterprise_linux:postgresql84-python, p-cpe:/a:redhat:enterprise_linux:postgresql84-libs

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2011/2/3

弱點發布日期: 2011/2/1

參考資訊

CVE: CVE-2010-4015

BID: 46084

CWE: 121

RHSA: 2011:0198