微点交流论坛

标题: PostgreSQL多个漏洞 [打印本页]

作者: pioneer 时间: 2008-1-10 09:50 标题: PostgreSQL多个漏洞

来源

secunia.com

软件名

PostgreSQL 7.x
PostgreSQL 8.x

描述

这可导致恶意扩大权限或导致恶意拒绝服务

1)Index函数在"VACUUM"和"ANALYZE"中作为超级用户执行，这可导致恶意扩大权限

2)"SET ROLE" and "SET SESSION AUTHORIZATION"在"SET ROLE"和"SET SESSION AUTHORIZATION"中被允许，这可导致恶意扩大权限

3)处理sql查询中正则表达式时的多个错误可导致无穷循环，消耗大量内存或崩溃后端，以致拒绝服务

4)DBLink模块中的错误在用来连接当前可信和ident认证时可获得超级用户权限

该漏洞在V 8.2, 8.1, 8.0, 7.4,和7.3中已经报告

解决方案

更新到V8.2.6, 8.1.11, 8.0.15, 7.4.19, or 7.3.21.

Source code:
http://www.postgresql.org/ftp/source/

Binaries:
http://www.postgresql.org/ftp/binary/

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn