以下的文章主要描述的是PostgreSQL权限提升与拒绝服务漏洞受影响系统,以下就对PostgreSQL权限提升与拒绝服务漏洞受影响系统的主要内容的详细描述,望大家在浏览之后会对其有更深的了解。
成都创新互联专业为企业提供郸城网站建设、郸城做网站、郸城网站设计、郸城网站制作等企业网站建设、网页设计与制作、郸城企业网站模板建站服务,十年郸城做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
PostgreSQL PostgreSQL 8.2
PostgreSQL PostgreSQL 8.1
PostgreSQL PostgreSQL 8.0
PostgreSQL PostgreSQL 7.4
PostgreSQL PostgreSQL 7.3
不受影响系统:
PostgreSQL PostgreSQL 8.2.6
PostgreSQL PostgreSQL 8.1.11
PostgreSQL PostgreSQL 8.0.15
PostgreSQL PostgreSQL 7.4.19
PostgreSQL PostgreSQL 7.3.21
描述:
BUGTRAQ ID: 27163
CVE(CAN) ID: CVE-2007-6600,CVE-2007-4772,CVE-2007-6067,CVE-2007-4769,CVE-2007-6601
PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集。
PostgreSQL允许用户对用户定义函数的结果创建索引,被称为“表达式索引”,这导致了两个权限提升漏洞:(1)在VACUUM和ANALYZE期间索引函数是以超级用户权限而不是表格所有者的权限执行的;(2)索引函数中允许SET ROLE和SET SESSION AUTHORIZATION。
PostgreSQL所使用的正则表达式库中存在3个独立的漏洞,允许恶意用户在SQL查询中传送特定的正则表达式导致拒绝服务:(1)用户可以使用某些特定的正则表达式触发死循环;(2)某些复杂的正则表达式可能消耗过多的内存;(3)用户可以使用越界的backref号导致后端崩溃。
DBLink模块中的错误允许攻击者通过本地trust或ident认证获得超级用户权限。
<*来源:PostgreSQL Global Development Group (josh@postgresql.org)
链接:http://secunia.com/advisories/28359/
http://marc.info/?l=bugtraq&m=119972709218341&w=2
http://security.gentoo.org/glsa/glsa-200801-15.xml
*>
建议:
厂商补丁:
PostgreSQL
----------
厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.postgresql.org/ftp/source/
http://www.postgresql.org/ftp/binary/
Gentoo
------
Gentoo发布了一个安全公告(GLSA-200801-15)以及相应补丁:
GLSA-200801-15:PostgreSQL: Multiple vulnerabilities
链接:http://security.gentoo.org/glsa/glsa-200801-15.xml
所有PostgreSQL用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose "dev-db/postgresql"
以上的相关内容就是对PostgreSQL权限提升和拒绝服务漏洞的介绍,望你能有所收获。
【编辑推荐】
本文标题:对PostgreSQL权限提升与拒绝服务漏洞的描述
文章位置:http://www.36103.cn/qtweb/news17/36617.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联