PostgreSQL 8.4 < 8.4.20 / 9.0 < 9.0.16 / 9.1 < 9.1.12 / 9.2 < 9.2.7 / 9.3 < 9.3.3 多個弱點
critical Nessus Plugin ID 72659
語系:
概要
遠端資料庫伺服器受到多個弱點影響。說明
遠端主機上安裝的 PostgreSQL 版本是 8.4.20 版之前的 8.4.x 版、9.0.16 版之前的 9.0.x 版、9.1.12 版之前的 9.1.x 版、9.2.7 版之前的 9.2.x 版或 9.3.3 版之前的 9.3.x 版。因此可能受到多個弱點影響:- SET ROLE 在授予角色時繞過缺少的 ADMIN OPTION。(CVE-2014-0060)
- 可能透過驗證器函式的呼叫提升權限。(CVE-2014-0061)
- 可能透過 CREATE INDEX 中的爭用情形提升權限。(CVE-2014-0062)
- 可能存在緩衝區滿溢,這是因為大小計算中的整數溢位所導致。(CVE-2014-0063)
- 日期時間輸入/輸出中可能存在緩衝區滿溢。(CVE-2014-0064)
- 存在多個可能溢位的固定大小緩衝區。(CVE-2014-0065)
- crypt(3) 傳回 NULL 時可能發生 NULL 指標解除參照損毀。(CVE-2014-0066)
- ‘hstore_io.c’ 中存在多個整數溢位弱點 (CVE-2014-2669)
解決方案
升級至 PostgreSQL 8.4.17 / 9.0.13 / 9.1.9 / 9.2.4 / 9.3.3 或更新版本。另請參閱
https://www.postgresql.org/about/news/1506/
http://www.postgresql.org/docs/8.4/static/release-8-4-20.html
https://www.postgresql.org/docs/9.0/release-9-0-16.html
Plugin 詳細資訊
嚴重性: Critical
ID: 72659
檔案名稱: postgresql_20140220.nasl
版本: 1.19
類型: remote
系列: Databases
已發布: 2014/2/24
已更新: 2023/4/4
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.5
時間分數: 4.8
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2014-2669
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:postgresql:postgresql
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/2/20
弱點發布日期: 2014/2/20
參考資訊
CVE: CVE-2014-0060, CVE-2014-0061, CVE-2014-0062, CVE-2014-0063, CVE-2014-0064, CVE-2014-0065, CVE-2014-0066, CVE-2014-2669