PostgreSQL 9.0 < 9.0.20 / 9.1 < 9.1.16 / 9.2 < 9.2.11 / 9.3 < 9.3.7 / 9.4 < 9.4.2 多种漏洞
critical Nessus 插件 ID 83818
语言:
简介
远程数据库服务器受到多种漏洞的影响。描述
远程主机上安装的 PostgreSQL 版本为 9.0.20 之前的 9.0.x 版本、9.1.16 之前的 9.1.x 版本、9.2.11 之前的 9.2.x 版本、9.3.7 之前的 9.3.x 版本或 9.4.2 之前的 9.4.x 版本。因此,它受到多种漏洞的影响:- 认证超时之后的双重释放内存错误,远程攻击者可利用此问题造成程序崩溃。(CVE-2015-3165)
- printf() 函数中存在因未能检查错误而导致的缺陷。远程攻击者可利用此缺陷获取敏感信息的访问权限。(CVE-2015-3166)
- pgcrypto 具有关于使用错误密钥进行解密的多个错误消息。远程攻击者可利用此缺陷从其他系统恢复密钥。(CVE-2015-3167)
解决方案
升级到 PostgreSQL 9.0.20 / 9.1.16 / 9.2.11 / 9.3.7 / 9.4.2 或更高版本。另见
https://www.postgresql.org/about/news/1587/
https://www.postgresql.org/docs/9.0/release-9-0-20.html
https://www.postgresql.org/docs/9.1/release-9-1-16.html
https://www.postgresql.org/docs/9.2/release-9-2-11.html
http://www.postgresql.org/docs/9.3/static/release-9-3-7.html
插件详情
严重性: Critical
ID: 83818
文件名: postgresql_20150522.nasl
版本: 1.14
类型: local
系列: Databases
发布时间: 2015/5/27
最近更新时间: 2023/4/4
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2015-3166
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:postgresql:postgresql
易利用性: No known exploits are available
补丁发布日期: 2015/5/22
漏洞发布日期: 2015/5/22