Scientific Linux 安全更新:SL5.x i386/x86_64 中的 postgresql84

high Nessus 插件 ID 60794
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

已在 PostgreSQL 对以 PL/Perl 编写的脚本强制进行权限检查的方式中发现一个缺陷。如果在特定数据库上注册了 PL/Perl 过程语言,运行特别构建的 PL/Perl 脚本的经认证的数据库用户可利用此缺陷来绕过预期的 PL/Perl 受信任模式限制,从而允许其以数据库服务器的权限运行任意 Perl 脚本。
(CVE-2010-1169)

已在 PostgreSQL 对以 PL/Tcl 编写的脚本强制进行权限检查的方式中发现一个缺陷。如果在特定数据库上注册了 PL/Tcl 过程语言,运行特别构建的 PL/Tcl 脚本的经认证的数据库用户可使用此缺陷来绕过预期 PL/Tcl 信任的模式限制,从而允许其以数据库服务器的权限运行任意 Tcl 脚本。
(CVE-2010-1170)

如果 postgresql 服务正在运行,它将在安装此更新后自动重新启动。

注意 1:无法在同一系统上连续安装 postgresql84 和 postgresql 程序包,除非 postgresql-libs 程序包能够与 postgresql84 同时存在。postgresql-libs 程序包中包含现有应用程序可能会链接的客户端库代码。这些库在新的服务器上将仍起作用。

注释 2:由于 8.4.x 与 8.1.x 还存在磁盘上的数据格式差异,无法仅通过替换程序包来将现有 8.1.x PostgreSQL 数据库升级到 8.4.x。而是要首先使用 pg_dumpall 命令来转储现有数据库的内容,然后关闭旧服务器并删除数据库文件(在 /var/lib/pgsql/data 下)。接着删除旧程序包并安装新程序包;启动新服务器;最后从 pg_dumpall 输出还原数据。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?bf93e51b

插件详情

严重性: High

ID: 60794

文件名: sl_20100519_postgresql84_on_SL5_x.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2012/8/1

最近更新时间: 2021/1/14

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 8.5

矢量: AV:N/AC:M/Au:S/C:C/I:C/A:C

漏洞信息

CPE: x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

补丁发布日期: 2010/5/19

参考资料信息

CVE: CVE-2010-1169, CVE-2010-1170