偵測

Oracle Linux 5:postgresql84 (ELSA-2010-0430)

high Nessus Plugin ID 68045

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

來自 Red Hat 安全性公告 2010:0430:

現已提供適用於 Red Hat Enterprise Linux 5 的更新版 postgresql84 套件,可修正兩個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

PostgreSQL 是一種進階物件關聯式資料庫管理系統 (DBMS)。PL/Perl 和 PL/Tcl 允許使用者以 Perl 和 Tcl 語言撰寫 PostgreSQL 函式,而且預設以信任模式安裝。在信任模式中,特定作業 (例如作業系統層級存取權限) 是受到限制的。

在 PostgreSQL 針對以 PL/Perl 撰寫的指令碼強制權限檢查的方式中發現一個瑕疵。如果 PL/Perl 程序語言已在特定資料庫上註冊,則經驗證的資料庫使用者在執行特製 PL/Perl 指令碼時,可利用此瑕疵繞過預定的 PL/Perl 信任模式限制,以便藉由資料庫伺服器的權限執行任意 Perl 指令碼。
(CVE-2010-1169)

Red Hat 要感謝 Tim Bunce 負責任地報告 CVE-2010-1169 的瑕疵。

在 PostgreSQL 針對以 PL/Tcl 撰寫的指令碼強制權限檢查的方式中發現一個瑕疵。如果 PL/Tcl 程序語言已在特定資料庫上註冊,則經驗證的資料庫使用者在執行特製 PL/Perl 指令碼時,可利用此瑕疵繞過預定的 PL/Tcl 信任模式限制,以便藉由資料庫伺服器的權限執行任意 Tcl 指令碼。
(CVE-2010-1170)

這些套件會將 PostgreSQL 升級至 8.4.4 版。如需變更清單,請參閱 PostgreSQL 版本資訊:

http://www.postgresql.org/docs/8.4/static/release.html

建議所有 PostgreSQL 使用者皆升級至這些更新版套件,其可更正這些問題。如果 postgresql 服務正在執行中,在安裝此更新之後,它會自動重新啟動。

解決方案

更新受影響的 postgresql84 套件。

另請參閱

https://oss.oracle.com/pipermail/el-errata/2010-May/001476.html

Plugin 詳細資訊

嚴重性: High

ID: 68045

檔案名稱: oraclelinux_ELSA-2010-0430.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2013/7/12

已更新: 2021/1/14

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 8.5

時間分數: 6.3

媒介: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:postgresql84, p-cpe:/a:oracle:linux:postgresql84-contrib, p-cpe:/a:oracle:linux:postgresql84-devel, p-cpe:/a:oracle:linux:postgresql84-docs, p-cpe:/a:oracle:linux:postgresql84-libs, p-cpe:/a:oracle:linux:postgresql84-plperl, p-cpe:/a:oracle:linux:postgresql84-plpython, p-cpe:/a:oracle:linux:postgresql84-pltcl, p-cpe:/a:oracle:linux:postgresql84-python, p-cpe:/a:oracle:linux:postgresql84-server, p-cpe:/a:oracle:linux:postgresql84-tcl, p-cpe:/a:oracle:linux:postgresql84-test, cpe:/o:oracle:linux:5

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2010/5/20

弱點發布日期: 2010/5/19

參考資訊

CVE: CVE-2010-1169, CVE-2010-1170, CVE-2010-1975

RHSA: 2010:0430