Amazon Linux AMI:postgresql92 (ALAS-2017-838)
high Nessus 插件 ID 100639
语言:
简介
远程 Amazon Linux AMI 主机缺少安全更新。描述
选择性评估绕过 SELECT 权限检查已发现一些选择性评估函数未在 pg_statistic 提供信息之前检查用户权限,可能会泄露信息。非特权攻击者可利用此缺陷,从表格盗取无权访问的一些信息。(CVE-2017-7484)
pg_user_mappings 视图泄露外部服务器密码
据发现,来自 postgresql 的 pg_user_mappings 视图可能会将外部数据库的用户映射相关信息泄露给无权限的用户。对此映射具有 USAGE 权限的经身份验证的攻击者在查询视图时,可以获取用户映射数据,例如用于连接到外部数据库的用户名和密码。(CVE-2017-7486)
解决方案
运行 'yum update postgresql92' 以更新系统。另见
插件详情
严重性: High
ID: 100639
文件名: ala_ALAS-2017-838.nasl
版本: 3.5
类型: local
代理: unix
发布时间: 2017/6/7
最近更新时间: 2018/4/18
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
风险因素: High
基本分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞信息
CPE: p-cpe:/a:amazon:linux:postgresql92, p-cpe:/a:amazon:linux:postgresql92-contrib, p-cpe:/a:amazon:linux:postgresql92-debuginfo, p-cpe:/a:amazon:linux:postgresql92-devel, p-cpe:/a:amazon:linux:postgresql92-docs, p-cpe:/a:amazon:linux:postgresql92-libs, p-cpe:/a:amazon:linux:postgresql92-plperl, p-cpe:/a:amazon:linux:postgresql92-plpython26, p-cpe:/a:amazon:linux:postgresql92-plpython27, p-cpe:/a:amazon:linux:postgresql92-pltcl, p-cpe:/a:amazon:linux:postgresql92-server, p-cpe:/a:amazon:linux:postgresql92-server-compat, p-cpe:/a:amazon:linux:postgresql92-test, cpe:/o:amazon:linux
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
补丁发布日期: 2017/6/6
参考资料信息
CVE: CVE-2017-7484, CVE-2017-7486
ALAS: 2017-838