Amazon Linux AMI:postgresql93/postgresql94、postgresql95 (ALAS-2017-839)
high Nessus 插件 ID 100640
语言:
简介
远程 Amazon Linux AMI 主机缺少安全更新。描述
Selectivity estimators bypass SELECT privilege checks已发现一些选择性评估函数未在 pg_statistic 提供信息之前检查用户权限,可能会泄露信息。非特权攻击者可利用此缺陷,从表格盗取无权访问的一些信息。(CVE-2017-7484)
libpq 忽略 PGREQUIRESSL 环境变量
据发现,PGREQUIRESSL 不再强制使用 SSL/TLS 连接到 PostgreSQL 服务器。活跃的中间人攻击者可利用此缺陷将 SSL/TLS 保护从客户端与服务器之间的连接中剥离。(CVE-2017-7485)
pg_user_mappings view discloses foreign server passwords
据发现,来自 postgresql 的 pg_user_mappings 视图可能会将外部数据库的用户映射相关信息泄露给无权限的用户。对此映射具有 USAGE 权限的经身份验证的攻击者在查询视图时,可以获取用户映射数据,例如用于连接到外部数据库的用户名和密码。(CVE-2017-7486)
解决方案
运行 'yum update postgresql93' 以更新系统。运行 'yum update postgresql94' 以更新系统。
运行 'yum update postgresql95' 以更新系统。
另见
插件详情
严重性: High
ID: 100640
文件名: ala_ALAS-2017-839.nasl
版本: 3.5
类型: local
代理: unix
发布时间: 2017/6/7
最近更新时间: 2018/4/18
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
风险因素: High
基本分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞信息
CPE: p-cpe:/a:amazon:linux:postgresql93-contrib, p-cpe:/a:amazon:linux:postgresql95-docs, p-cpe:/a:amazon:linux:postgresql94-docs, p-cpe:/a:amazon:linux:postgresql93-pltcl, p-cpe:/a:amazon:linux:postgresql93-plperl, p-cpe:/a:amazon:linux:postgresql93-plpython27, p-cpe:/a:amazon:linux:postgresql95-plperl, p-cpe:/a:amazon:linux:postgresql94-libs, cpe:/o:amazon:linux, p-cpe:/a:amazon:linux:postgresql94, p-cpe:/a:amazon:linux:postgresql93-plpython26, p-cpe:/a:amazon:linux:postgresql95-plpython27, p-cpe:/a:amazon:linux:postgresql93-test, p-cpe:/a:amazon:linux:postgresql93-server, p-cpe:/a:amazon:linux:postgresql95-test, p-cpe:/a:amazon:linux:postgresql93-libs, p-cpe:/a:amazon:linux:postgresql94-contrib, p-cpe:/a:amazon:linux:postgresql93-debuginfo, p-cpe:/a:amazon:linux:postgresql94-debuginfo, p-cpe:/a:amazon:linux:postgresql94-plperl, p-cpe:/a:amazon:linux:postgresql94-plpython27, p-cpe:/a:amazon:linux:postgresql94-test, p-cpe:/a:amazon:linux:postgresql95-static, p-cpe:/a:amazon:linux:postgresql95, p-cpe:/a:amazon:linux:postgresql95-server, p-cpe:/a:amazon:linux:postgresql95-debuginfo, p-cpe:/a:amazon:linux:postgresql95-plpython26, p-cpe:/a:amazon:linux:postgresql93, p-cpe:/a:amazon:linux:postgresql94-plpython26, p-cpe:/a:amazon:linux:postgresql95-devel, p-cpe:/a:amazon:linux:postgresql95-contrib, p-cpe:/a:amazon:linux:postgresql94-server, p-cpe:/a:amazon:linux:postgresql94-devel, p-cpe:/a:amazon:linux:postgresql93-docs, p-cpe:/a:amazon:linux:postgresql95-libs, p-cpe:/a:amazon:linux:postgresql93-devel
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
补丁发布日期: 2017/6/6
参考资料信息
CVE: CVE-2017-7484, CVE-2017-7485, CVE-2017-7486
ALAS: 2017-839