Mandriva Linux 安全性公告:postgresql (MDVSA-2012:092)

medium Nessus Plugin ID 59518

概要

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

說明

在 postgresql 中發現多個弱點且已更正:

修正 contrib/pgcrypto 之 DES crypt() 函式中不正確的密碼轉變 (Solar Designer)。如果密碼字串包含 0x80 位元組值,則會忽略密碼的其餘部分,造成密碼比其顯示的樣子要弱很多。透過此修正,字串的剩餘部分會正確包含在 DES 雜湊中。如此一來,受此錯誤影響的所有已儲存密碼值將不再符合,因此可能需要更新儲存的值 (CVE-2012-2143)。

忽略程序語言呼叫處置程式的 SECURITY DEFINER 和 SET 屬性 (Tom Lane)。將這類屬性套用到呼叫處置程式可導致伺服器當機 (CVE-2012-2655)。

這份公告提供的最新版 PostgreSQL 不受這些問題的影響。

解決方案

更新受影響的套件。

另請參閱

https://www.postgresql.org/docs/8.3/release-8-3-19.html

https://www.postgresql.org/docs/8.4/release-8-4-12.html

https://www.postgresql.org/docs/9.0/release-9-0-8.html

Plugin 詳細資訊

嚴重性: Medium

ID: 59518

檔案名稱: mandriva_MDVSA-2012-092.nasl

版本: 1.15

類型: local

已發布: 2012/6/15

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:mandriva:linux:lib64ecpg8.4_6, p-cpe:/a:mandriva:linux:lib64ecpg9.0_6, p-cpe:/a:mandriva:linux:lib64pq8.4_5, p-cpe:/a:mandriva:linux:lib64pq9.0_5, p-cpe:/a:mandriva:linux:libecpg8.4_6, p-cpe:/a:mandriva:linux:libecpg9.0_6, p-cpe:/a:mandriva:linux:libpq8.4_5, p-cpe:/a:mandriva:linux:libpq9.0_5, p-cpe:/a:mandriva:linux:postgresql8.4, p-cpe:/a:mandriva:linux:postgresql8.4-contrib, p-cpe:/a:mandriva:linux:postgresql8.4-devel, p-cpe:/a:mandriva:linux:postgresql8.4-docs, p-cpe:/a:mandriva:linux:postgresql8.4-pl, p-cpe:/a:mandriva:linux:postgresql8.4-plperl, p-cpe:/a:mandriva:linux:postgresql8.4-plpgsql, p-cpe:/a:mandriva:linux:postgresql8.4-plpython, p-cpe:/a:mandriva:linux:postgresql8.4-pltcl, p-cpe:/a:mandriva:linux:postgresql8.4-server, p-cpe:/a:mandriva:linux:postgresql9.0, p-cpe:/a:mandriva:linux:postgresql9.0-contrib, p-cpe:/a:mandriva:linux:postgresql9.0-devel, p-cpe:/a:mandriva:linux:postgresql9.0-docs, p-cpe:/a:mandriva:linux:postgresql9.0-pl, p-cpe:/a:mandriva:linux:postgresql9.0-plperl, p-cpe:/a:mandriva:linux:postgresql9.0-plpgsql, p-cpe:/a:mandriva:linux:postgresql9.0-plpython, p-cpe:/a:mandriva:linux:postgresql9.0-pltcl, p-cpe:/a:mandriva:linux:postgresql9.0-server, cpe:/o:mandriva:linux:2010.1, cpe:/o:mandriva:linux:2011

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/6/15

參考資訊

CVE: CVE-2012-0866, CVE-2012-2143, CVE-2012-2655

BID: 53729, 53812

MDVSA: 2012:092