检测

MagicLinux 7postgresql-9.2.24-9.0.3.el7.AXS7 (AXSA:2025-9699:03)

high Nessus 插件 ID 283449

语言:

简介

远程iraclelinux 主机缺少安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2025-9699:03 公告中提及的漏洞的影响。

 PostgreSQL 是高级对象关系数据库管理系统 (DBMS)。
 基本 postgresql 程序包包含访问 PostgreSQL DBMS 服务器所需的客户端程序,以及适用于整个系统的 HTML 文档。这些客户端程序可能与 PostgreSQL 服务器位于同一台计算机上,也可能位于通过网络连接访问 PostgreSQL 服务器的远程计算机上。可在 postgresql-server 子程序包中找到 PostgreSQL 服务器。
 安全修复:
 - CVE-2024-7348修复 pg_dump 中的 TOCTOU 争用条件 CVE
 CVE-2024-7348 PostgreSQL 中的 pg_dump 中存在检查时间与使用时间 (TOCTOU) 争用条件允许对象创建者以运行 pg_dump 的用户身份通常为超级用户执行任意 SQL 函数。攻击涉及将另一种关系类型替换为视图或外部表。此攻击需要等待 pg_dump 启动,但如果攻击者保留了打开的事务,则赢得争用条件无关紧要。
 PostgreSQL 16.4、15.8、14.13、13.16 和 12.20 之前版本均受影响。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/20883

插件详情

严重性: High

ID: 283449

文件名: miracle_linux_AXSA-2025-9699.nasl

版本: 1.1

类型: local

发布时间: 2026/1/13

最近更新时间: 2026/1/13

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 7.1

时间分数: 5.3

矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-7348

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:postgresql-devel, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:postgresql-contrib, p-cpe:/a:miracle:linux:postgresql, p-cpe:/a:miracle:linux:postgresql-server, p-cpe:/a:miracle:linux:postgresql-plperl, p-cpe:/a:miracle:linux:postgresql-docs, p-cpe:/a:miracle:linux:postgresql-libs, p-cpe:/a:miracle:linux:postgresql-test, p-cpe:/a:miracle:linux:postgresql-pltcl, p-cpe:/a:miracle:linux:postgresql-plpython

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/2/25

漏洞发布日期: 2024/8/8

参考资料信息

CVE: CVE-2024-7348