PostgreSQL 9.2.x < 9.2.21 / 9.3.x < 9.3.17 / 9.4.x < 9.4.12 / 9.5.x < 9.5.7 / 9.6.x < 9.6.3 多种漏洞
high Nessus 插件 ID 100260
语言:
简介
远程数据库服务器受到多个漏洞的影响。描述
远程主机上安装的 PostgreSQL 版本为 9.2.21 之前的 9.2.x 版本、9.3.17 之前的 9.3.x 版本、9.4.12 之前的 9.4.x 版本、9.5.7 之前的 9.5.x 版本或 9.6.3 之前的 9.6.x 版本。因而会受到多个漏洞的影响:- 不明选择性评估功能中存在信息泄露漏洞,这是因为未在从 pg_statistic 提供信息之前,正确检查用户权限所致。经身份验证的远程攻击者可利用此问题泄露受限表格中的敏感信息。(CVE-2017-7484) - 存在一个缺陷,这是因为未正确接受 PGREQUIRESSL 环境变量设置,进而导致无法请求相应的 SSL/TLS 连接所致。中间人攻击者可加以恶意利用,在客户端和服务器之间造成不安全、非 SSL/TLS 连接。请注意,9.2.x 版不受此漏洞影响。(CVE-2017-7485) - pg_user_mappings 视图中存在一个信息泄露漏洞,允许访问可能含有从 CREATE USER MAPPING 命令保留而来之密码的用户映射。对相关外部服务器具有 USAGE 权限的经身份验证的远程攻击者可加以恶意利用,以泄露外部服务器密码。(CVE-2017-7486)解决方案
升级至 PostgreSQL 9.2.21 / 9.3.17 / 9.4.12 / 9.5.7 / 9.6.3 或更高版本。另见
https://www.postgresql.org/about/news/1746/
https://www.postgresql.org/docs/current/static/release-9-2-21.html
https://www.postgresql.org/docs/current/release-9-3-17.html
https://www.postgresql.org/docs/current/release-9-4-12.html
插件详情
严重性: High
ID: 100260
文件名: postgresql_20170511.nasl
版本: 1.18
类型: local
代理: windows, macosx, unix
系列: Databases
发布时间: 2017/5/17
最近更新时间: 2023/4/4
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2017-7486
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:postgresql:postgresql
易利用性: No known exploits are available
补丁发布日期: 2017/5/11
漏洞发布日期: 2017/5/11