PostgreSQL 9.1.x < 9.1.24 / 9.2.x < 9.2.19 / 9.3.x < 9.3.15 / 9.4.x < 9.4.10 / 9.5.x < 9.5.5 / 9.6.x < 9.6.1 彙總函式釋放後使用 DoS

high Nessus Plugin ID 94610

概要

遠端資料庫伺服器受到拒絕服務弱點的影響。

說明

遠端主機上安裝的 PostgreSQL 版本為 9.1.24 之前的 9.1.x、9.2.19 之前的 9.2.x、9.3.15 之前的 9.3.x、9.4.10 之前的 9.4.x、9.5.5 之前的 9.5.x 或 9.6.1 之前的 9.6.x。因此,執行使用 DISTINCT 的彙總函式時,會受到一個因釋放後使用錯誤所致的拒絕服務弱點影響。未經驗證的遠端攻擊者可加以惡意利用,解除參照已釋放的記憶體,進而導致資料庫損毀。

解決方案

升級至 PostgreSQL 9.1.24 / 9.2.19 / 9.3.15 / 9.4.10 / 9.5.5 / 9.6.1 或更新版本。

另請參閱

https://www.postgresql.org/about/news/1712/

https://www.postgresql.org/docs/current/release-9-1-24.html

https://www.postgresql.org/docs/current/static/release-9-2-19.html

https://www.postgresql.org/docs/current/release-9-3-15.html

https://www.postgresql.org/docs/current/release-9-4-10.html

https://www.postgresql.org/docs/current/release-9-5-5.html

https://www.postgresql.org/docs/current/release-9-6-1.html

Plugin 詳細資訊

嚴重性: High

ID: 94610

檔案名稱: postgresql_20161027.nasl

版本: 1.16

類型: combined

代理程式: windows, macosx, unix

系列: Databases

已發布: 2016/11/7

已更新: 2025/2/5

組態: 啟用徹底檢查 (optional)

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.3

時間性分數: 6.9

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2016-7048

CVSS v3

風險因素: High

基本分數: 8.1

時間性分數: 7.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:postgresql:postgresql

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/10/27

弱點發布日期: 2016/10/27

參考資訊

CVE: CVE-2016-7048