检测

Oracle Linux 4 / 5:postgresql (ELSA-2008-0038)

critical Nessus 插件 ID 67638

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2008:0038:

更新后的 postgresql 程序包修复了若干安全问题,现在可用于 Red Hat Enterprise Linux 4 和 5。

Red Hat 安全响应团队将此更新评级为具有中等安全影响。

PostgreSQL 是高级对象关系数据库管理系统 (DBMS)。postgresql 程序包含有访问 PostgreSQL DBMS 服务器所需的客户端程序和库。

Will Drewry 发现 PostgreSQL 的正则表达引擎中存在多种缺陷。经认证的攻击者可利用这些缺陷使 PostgreSQL 服务器崩溃进而造成拒绝服务,进入无限循环,或者在处理包含特别构建的正则表达式的查询时使用大量 CPU 和内存资源。接受来自不受信任来源的正则表达式的应用程序可将此问题暴露给未经授权的攻击者。
(CVE-2007-4769、CVE-2007-4772、CVE-2007-6067)

在 PostgreSQL 中发现一个权限升级缺陷。经认证的攻击者可创建在执行数据库维护任务(例如数据库资料移除)期间将以管理员权限执行的索引函数。(CVE-2007-6600)

在 PostgreSQL 的数据库链接库 (dblink) 中发现权限升级缺陷。经认证的攻击者可使用 dblink,在配置了“trust”或“ident”认证的系统上提升权限。请注意,dblink 功能默认未启用,并且只能由安装了 postgresql-contrib 程序包的系统的数据库管理员启用。(CVE-2007-3278、CVE-2007-6601)

所有 postgresql 用户应升级这些更新后的程序包,其中包含 PostgreSQL 7.4.19 和 8.1.11 并解决了这些问题。

解决方案

更新受影响的 postgresql 程序包。

另见

https://linux.oracle.com/errata/ELSA-2008-0038.html

插件详情

严重性: Critical

ID: 67638

文件名: oraclelinux_ELSA-2008-0038.nasl

版本: 1.13

类型: local

代理: unix

发布时间: 2013/7/12

最近更新时间: 2024/10/22

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2007-6601

CVSS v3

风险因素: Critical

基本分数: 10

时间分数: 9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2007-6067

漏洞信息

CPE: cpe:/o:oracle:linux:5, p-cpe:/a:oracle:linux:postgresql-contrib, p-cpe:/a:oracle:linux:postgresql-docs, p-cpe:/a:oracle:linux:postgresql, p-cpe:/a:oracle:linux:postgresql-libs, p-cpe:/a:oracle:linux:postgresql-devel, p-cpe:/a:oracle:linux:postgresql-test, p-cpe:/a:oracle:linux:postgresql-pl, p-cpe:/a:oracle:linux:postgresql-tcl, p-cpe:/a:oracle:linux:postgresql-python, p-cpe:/a:oracle:linux:postgresql-server

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2008/1/11

漏洞发布日期: 2007/6/19

参考资料信息

CVE: CVE-2007-3278, CVE-2007-4769, CVE-2007-4772, CVE-2007-6067, CVE-2007-6600, CVE-2007-6601

BID: 27163

RHSA: 2008:0038