对PostgreSQL权限提升与拒绝服务漏洞的描述

安全 PostgreSQL
此文章主要介绍的是PostgreSQL权限提升与拒绝服务漏洞受影响系统,以下就是具体方案的描述,希望在你今后的学习中会有所帮助。

以下的文章主要描述的是PostgreSQL权限提升与拒绝服务漏洞受影响系统,以下就对PostgreSQL权限提升与拒绝服务漏洞受影响系统的主要内容的详细描述,望大家在浏览之后会对其有更深的了解。

 

PostgreSQL PostgreSQL 8.2

PostgreSQL PostgreSQL 8.1

PostgreSQL PostgreSQL 8.0

PostgreSQL PostgreSQL 7.4

PostgreSQL PostgreSQL 7.3

不受影响系统:

PostgreSQL PostgreSQL 8.2.6

PostgreSQL PostgreSQL 8.1.11

PostgreSQL PostgreSQL 8.0.15

PostgreSQL PostgreSQL 7.4.19

PostgreSQL PostgreSQL 7.3.21

描述:

BUGTRAQ ID: 27163

CVE(CAN) ID: CVE-2007-6600,CVE-2007-4772,CVE-2007-6067,CVE-2007-4769,CVE-2007-6601

PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集。

PostgreSQL允许用户对用户定义函数的结果创建索引,被称为“表达式索引”,这导致了两个权限提升漏洞:(1)在VACUUM和ANALYZE期间索引函数是以超级用户权限而不是表格所有者的权限执行的;(2)索引函数中允许SET ROLE和SET SESSION AUTHORIZATION。

PostgreSQL所使用的正则表达式库中存在3个独立的漏洞,允许恶意用户在SQL查询中传送特定的正则表达式导致拒绝服务:(1)用户可以使用某些特定的正则表达式触发死循环;(2)某些复杂的正则表达式可能消耗过多的内存;(3)用户可以使用越界的backref号导致后端崩溃。

DBLink模块中的错误允许攻击者通过本地trust或ident认证获得超级用户权限。

<*来源:PostgreSQL Global Development Group (josh@postgresql.org)

链接:http://secunia.com/advisories/28359/

http://marc.info/?l=bugtraq&m=119972709218341&w=2

http://security.gentoo.org/glsa/glsa-200801-15.xml

*>

建议:

厂商补丁:

PostgreSQL

----------

厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.postgresql.org/ftp/source/

http://www.postgresql.org/ftp/binary/

Gentoo

------

Gentoo发布了一个安全公告(GLSA-200801-15)以及相应补丁:

GLSA-200801-15:PostgreSQL: Multiple vulnerabilities

链接:http://security.gentoo.org/glsa/glsa-200801-15.xml

所有PostgreSQL用户都应升级到最新版本:

# emerge --sync

# emerge --ask --oneshot --verbose "dev-db/postgresql"

以上的相关内容就是对PostgreSQL权限提升和拒绝服务漏洞的介绍,望你能有所收获。

【编辑推荐】

  1. Sun Java运行时环境XML解析拒绝服务漏洞
  2. Sun OpenSolaris内核Panic远程拒绝服务漏洞
  3. Perl UTF-8规则表达式处理远程拒绝服务漏洞
责任编辑:佚名 来源: 如邻网络
相关推荐

2011-03-03 11:26:09

2010-10-08 12:21:22

2010-09-29 14:27:06

2009-10-22 11:28:38

2009-10-24 10:29:56

2010-10-11 12:29:52

2011-12-29 09:21:09

TomcatHashtable

2009-10-27 14:17:49

2013-05-17 10:43:32

2010-07-16 15:01:53

2009-10-29 13:24:41

2017-03-20 16:35:36

2009-10-22 11:36:55

漏洞补丁

2010-10-09 14:59:30

2017-02-16 14:22:24

2009-10-25 12:40:29

2009-10-21 14:31:15

漏洞补丁

2010-01-12 11:58:14

Cisco防火墙拒绝服务漏洞

2009-07-01 09:22:33

2009-02-03 09:06:26

点赞
收藏

51CTO技术栈公众号