Amazon Linux AMI:postgresql9 (ALAS-2013-178)
high Nessus 插件 ID 69737
语言:
简介
远程 Amazon Linux AMI 主机缺少安全更新。描述
低于 9.2.4 的 PostgreSQL 9.2.x、低于 9.1.9 的 PostgreSQL 9.1.x,以及低于 9.0.13 的 PostgreSQL 9.0.x 中的参数注入漏洞允许远程攻击者造成拒绝服务(文件损坏),允许经过认证的远程用户通过使用以“-”(连字符)开始的数据库名称的连接请求修改配置设置和执行任意代码。低于 9.2.4 的 PostgreSQL 9.2.x 和低于 9.1.9 的 PostgreSQL 9.1.x 未正确检查 REPLICATION 权限,这允许经过认证的远程用户通过调用 (1) pg_start_backup 或 (2) pg_stop_backup 函数绕过预期备份限制。
使用 OpenSSL 时,低于 9.2.4 的 PostgreSQL 9.2.x、低于 9.1.9 的 PostgreSQL 9.1.x、低于 9.0.13 的 PostgreSQL 9.0.x 以及低于 8.4.17 的 PostgreSQL 8.4.x 生成随机性不足的编号,这可能允许经过认证的远程用户通过与“contrib/pgcrypto”函数相关的矢量造成不明影响。
解决方案
运行 'yum update postgresql9' 以更新系统。另见
插件详情
严重性: High
ID: 69737
文件名: ala_ALAS-2013-178.nasl
版本: 1.12
类型: local
代理: unix
发布时间: 2013/9/4
最近更新时间: 2018/4/18
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 8.5
矢量: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:postgresql9, p-cpe:/a:amazon:linux:postgresql9-contrib, p-cpe:/a:amazon:linux:postgresql9-debuginfo, p-cpe:/a:amazon:linux:postgresql9-devel, p-cpe:/a:amazon:linux:postgresql9-docs, p-cpe:/a:amazon:linux:postgresql9-libs, p-cpe:/a:amazon:linux:postgresql9-plperl, p-cpe:/a:amazon:linux:postgresql9-plpython, p-cpe:/a:amazon:linux:postgresql9-pltcl, p-cpe:/a:amazon:linux:postgresql9-server, p-cpe:/a:amazon:linux:postgresql9-test, p-cpe:/a:amazon:linux:postgresql9-upgrade, cpe:/o:amazon:linux
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
补丁发布日期: 2013/4/4
参考资料信息
CVE: CVE-2013-1899, CVE-2013-1900, CVE-2013-1901
ALAS: 2013-178