检测

Mandriva Linux 安全公告:postgresql (MDVSA-2012:092)

medium Nessus 插件 ID 59518

语言:

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 postgresql 中发现并修正了多种漏洞:

修复 contrib/pgcrypto 的 DES crypt() 函数中不正确的密码转换 (Solar Designer)。如果密码字符串包含字节值 0x80,则其余密码将被忽略,从而导致密码强度远弱于预期值。通过此补丁,DES 哈希中将正确地包含字符串的其余部分。受此缺陷影响的任何存储的密码值都将因而不再匹配,因此存储的值可能需要进行更新 (CVE-2012-2143)。

忽略程序语言调用处理程序的 SECURITY DEFINER 和 SET 属性 (Tom Lane)。将这类属性应用到调用处理程序可导致服务器崩溃 (CVE-2012-2655)。

此公告提供 PostgreSQL 的最新版本,不易受到这些问题的影响。

解决方案

更新受影响的程序包。

另见

https://www.postgresql.org/docs/8.3/release-8-3-19.html

https://www.postgresql.org/docs/8.4/release-8-4-12.html

https://www.postgresql.org/docs/9.0/release-9-0-8.html

插件详情

严重性: Medium

ID: 59518

文件名: mandriva_MDVSA-2012-092.nasl

版本: 1.15

类型: local

发布时间: 2012/6/15

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.8

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 4.8

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:mandriva:linux:lib64ecpg8.4_6, p-cpe:/a:mandriva:linux:lib64ecpg9.0_6, p-cpe:/a:mandriva:linux:lib64pq8.4_5, p-cpe:/a:mandriva:linux:lib64pq9.0_5, p-cpe:/a:mandriva:linux:libecpg8.4_6, p-cpe:/a:mandriva:linux:libecpg9.0_6, p-cpe:/a:mandriva:linux:libpq8.4_5, p-cpe:/a:mandriva:linux:libpq9.0_5, p-cpe:/a:mandriva:linux:postgresql8.4, p-cpe:/a:mandriva:linux:postgresql8.4-contrib, p-cpe:/a:mandriva:linux:postgresql8.4-devel, p-cpe:/a:mandriva:linux:postgresql8.4-docs, p-cpe:/a:mandriva:linux:postgresql8.4-pl, p-cpe:/a:mandriva:linux:postgresql8.4-plperl, p-cpe:/a:mandriva:linux:postgresql8.4-plpgsql, p-cpe:/a:mandriva:linux:postgresql8.4-plpython, p-cpe:/a:mandriva:linux:postgresql8.4-pltcl, p-cpe:/a:mandriva:linux:postgresql8.4-server, p-cpe:/a:mandriva:linux:postgresql9.0, p-cpe:/a:mandriva:linux:postgresql9.0-contrib, p-cpe:/a:mandriva:linux:postgresql9.0-devel, p-cpe:/a:mandriva:linux:postgresql9.0-docs, p-cpe:/a:mandriva:linux:postgresql9.0-pl, p-cpe:/a:mandriva:linux:postgresql9.0-plperl, p-cpe:/a:mandriva:linux:postgresql9.0-plpgsql, p-cpe:/a:mandriva:linux:postgresql9.0-plpython, p-cpe:/a:mandriva:linux:postgresql9.0-pltcl, p-cpe:/a:mandriva:linux:postgresql9.0-server, cpe:/o:mandriva:linux:2010.1, cpe:/o:mandriva:linux:2011

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2012/6/15

参考资料信息

CVE: CVE-2012-0866, CVE-2012-2143, CVE-2012-2655

BID: 53729, 53812

MDVSA: 2012:092