检测

RHEL 5:rh-postgresql95-postgresql (RHSA-2017:1838)

medium Nessus 插件 ID 102142

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

rh-postgresql95-postgresql 的更新现可用于 Red Hat Satellite 5.8 和 Red Hat Satellite 5.8 ELS。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。此更新仅适用于使用内嵌式或管理式 PostgreSQL 数据库的 Satellite 5.8 实例。需采取手动步骤才能完成从 postgresql92-postgresql 到 rh-postgresql95-postgresql 的迁移。若未采取这些步骤,受影响的 Satellite 会继续使用 PostgreSQL 9.2。系统会自动将 postgresql92-postgresql 升级至 rh-postgresql95-postgresql,这是 Satellite 5.8 升级内容的一部分。PostgreSQL 是高级对象关系数据库管理系统 (DBMS)。安全修复:* 已发现一些选择性评估函数未在 pg_statistic 提供信息之前检查用户权限,可能会泄露信息。非管理数据库用户可利用此缺陷,从表格盗取无权访问的一些信息。(CVE-2017-7484) * 据发现,在设定 PGREQUIRESSL 环境变量时,PostgreSQL 客户端库 (libpq) 未强制将 TLS/SSL 用于 PostgreSQL 服务器连接。中间人攻击者可利用此缺陷将 SSL/TLS 保护从客户端与服务器之间的连接中剥离。(CVE-2017-7485) * 已发现 pg_user_mappings 视图可以向非管理数据库用户泄露外部数据库用户映射信息。对此映射具有 USAGE 权限的数据库用户在查询视图时,可以获取用户映射数据,例如用于连接到外部数据库的用户名和密码。(CVE-2017-7486) Red Hat 在此感谢 PostgreSQL 项目报告这些问题。上游感谢 CVE-2017-7484 的原始报告者 Robert Haas;CVE-2017-7485 的原始报告者 Daniel Gustafsson 以及 CVE-2017-7486 的原始报告者 Andrew Wheelwright。

解决方案

更新受影响的程序包。

另见

http://rhn.redhat.com/errata/RHSA-2017-1838.html

https://www.redhat.com/security/data/cve/CVE-2017-7484.html

https://www.redhat.com/security/data/cve/CVE-2017-7485.html

https://www.redhat.com/security/data/cve/CVE-2017-7486.html

插件详情

严重性: Medium

ID: 102142

文件名: redhat-RHSA-2017-1838.nasl

版本: 3.8

类型: local

代理: unix

发布时间: 2017/8/3

最近更新时间: 2019/10/24

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-contrib, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-debuginfo, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-libs, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-pltcl, p-cpe:/a:redhat:enterprise_linux:rh-postgresql95-postgresql-server, cpe:/o:redhat:enterprise_linux:5.8

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2017/7/31

参考资料信息

CVE: CVE-2017-7484, CVE-2017-7485, CVE-2017-7486

RHSA: 2017:1838