Scientific Linux 安全性更新:SL3.x、SL4.x、SL5.x i386/x86_64 上的 postgresql

high Nessus Plugin ID 60343

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

Will Drewry 在 PostgreSQL 的規則運算式引擎中發現多個瑕疵。經過驗證的攻擊者可利用這些瑕疵透過造成 PostgreSQL 伺服器當機來導致拒絕服務,進入無限迴圈,或者在處理包含特製規則運算式的查詢時,使用過量 CPU 與記憶體資源。接受來自不受信任來源之規則運算式的應用程式可能會將此問題暴露給未經授權的攻擊者。
(CVE-2007-4769、CVE-2007-4772、CVE-2007-6067)

在 PostgreSQL 中發現一個權限提升瑕疵。在諸如清空資料庫之類的資料庫維護工作期間,經過驗證的攻擊者可建立以系統管理員權限執行的索引函式。(CVE-2007-6600)

在 PostgreSQL 的資料庫連結程式庫 (dblink) 中發現一個權限提升瑕疵。經過驗證的攻擊者可利用 dblink 來在已設定「trust」或「ident」驗證的系統上提升權限。請注意,預設並未啟用 dblink 功能,且只能在已安裝 postgresql-contrib 套件的系統上由資料庫管理員啟用。(CVE-2007-3278、CVE-2007-6601)

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?80fff74e

Plugin 詳細資訊

嚴重性: High

ID: 60343

檔案名稱: sl_20080111_postgresql_on_SL3_x.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2012/8/1

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.2

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2008/1/11

參考資訊

CVE: CVE-2007-3278, CVE-2007-4769, CVE-2007-4772, CVE-2007-6067, CVE-2007-6600, CVE-2007-6601

CWE: 189, 264, 287, 399