检测

FreeBSD:PostgreSQL -- 匿名远程访问数据损坏漏洞 (3f332f16-9b6b-11e2-8fe9-08002798f6ff)

high Nessus 插件 ID 65841

语言:

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

PostgreSQL 项目报告:

PostgreSQL Global Development Group 已发布用于 PostgreSQL 数据库系统的所有当前版本的安全更新,包括版本 9.2.4、9.1.9、9.0.13 和 8.4.17。此更新修复了版本 9.0 和更高版本中一个高度暴露的安全漏洞。强烈督促所有受影响版本的用户*立即*应用此更新。

此版本中修复了一个主要安全问题(仅针对版本 9.x),[CVE-2013-1899](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899),可以利用此问题构建包含以“-”开头的数据库名称的连接请求,该请求可破坏或销毁服务器的数据目录内的文件。能够访问 PostgreSQL 服务器所监听端口的任何人都可发起此请求。
此问题由 NTT Open Source Software Center 的 Mitsumasa Kondo 和 Kyotaro Horiguchi 发现。

此版本中还包含两个较小的安全补丁:[CVE-2013-1900](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900),此问题表现为 contrib/pgcrypto 函数生成的随机数容易被其他数据库用户猜测(所有版本),以及 [CVE-2013-1901](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1901),此问题错误地允许非特权用户运行可干预正在进行的备份的命令(仅针对版本 9.x)。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?3580c920

插件详情

严重性: High

ID: 65841

文件名: freebsd_pkg_3f332f169b6b11e28fe908002798f6ff.nasl

版本: 1.12

类型: local

发布时间: 2013/4/8

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 8.5

矢量: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:postgresql-server, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2013/4/4

漏洞发布日期: 2013/4/4

参考资料信息

CVE: CVE-2013-1899, CVE-2013-1900, CVE-2013-1901