Lucene search

K
seebugRootSSV:30152
HistoryFeb 29, 2012 - 12:00 a.m.

PostgreSQL 8.x/9.x 存在多个安全漏洞

2012-02-2900:00:00
Root
www.seebug.org
129

0.009 Low

EPSS

Percentile

83.2%

CVE-2012-0866
CVE-2012-0867
CVE-2012-0868

PostgreSQL是一款对象关系型数据库管理系统,支持扩展的SQL标准子集

PostgreSQL存在多个安全漏洞,允许恶意用户绕过部分安全限制,进行伪造攻击或操作某些数据
-在触发函数上没有对CREATE TRIGGER进行正确的权限检查,可利用此漏洞标记触发函数为SECURITY DEFINER,可授权EXECUTE权限
-在校验SSL证书的公用名时不正确把名称截断为32个字符,可导致不正确校验伪造证书
-当向评注注入对象名时pg_dump存在输入过滤错误,可被利用通过换行字符转义评注,向DUMP脚本注入SQL命令
0
PostgreSQL 8.x
PostgreSQL 9.x
厂商解决方案

PostgreSQL

PostgreSQL 9.1.3, 9.0.7, 8.4.11或8.3.18已经修复此漏洞,建议用户下载使用:
http://www.postgresql.org/