古风名字,有声,雪鹰领主

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

對PostgreSQL權(quán)限提升與拒絕服務(wù)漏洞的描述

以下的文章主要描述的是PostgreSQL權(quán)限提升與拒絕服務(wù)漏洞受影響系統(tǒng)，以下就對PostgreSQL權(quán)限提升與拒絕服務(wù)漏洞受影響系統(tǒng)的主要內(nèi)容的詳細描述，望大家在瀏覽之后會對其有更深的了解。

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供鄲城網(wǎng)站建設(shè)、鄲城做網(wǎng)站、鄲城網(wǎng)站設(shè)計、鄲城網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、鄲城企業(yè)網(wǎng)站模板建站服務(wù)，十年鄲城做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

PostgreSQL PostgreSQL 8.2

PostgreSQL PostgreSQL 8.1

PostgreSQL PostgreSQL 8.0

PostgreSQL PostgreSQL 7.4

PostgreSQL PostgreSQL 7.3

不受影響系統(tǒng)：

PostgreSQL PostgreSQL 8.2.6

PostgreSQL PostgreSQL 8.1.11

PostgreSQL PostgreSQL 8.0.15

PostgreSQL PostgreSQL 7.4.19

PostgreSQL PostgreSQL 7.3.21

描述：

BUGTRAQ ID: 27163

CVE(CAN) ID: CVE-2007-6600,CVE-2007-4772,CVE-2007-6067,CVE-2007-4769,CVE-2007-6601

PostgreSQL是一款高級對象-關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，支持擴展的SQL標準子集。

PostgreSQL允許用戶對用戶定義函數(shù)的結(jié)果創(chuàng)建索引，被稱為“表達式索引”，這導致了兩個權(quán)限提升漏洞：(1)在VACUUM和ANALYZE期間索引函數(shù)是以超級用戶權(quán)限而不是表格所有者的權(quán)限執(zhí)行的;(2)索引函數(shù)中允許SET ROLE和SET SESSION AUTHORIZATION。

PostgreSQL所使用的正則表達式庫中存在3個獨立的漏洞，允許惡意用戶在SQL查詢中傳送特定的正則表達式導致拒絕服務(wù)：(1)用戶可以使用某些特定的正則表達式觸發(fā)死循環(huán);(2)某些復雜的正則表達式可能消耗過多的內(nèi)存;(3)用戶可以使用越界的backref號導致后端崩潰。

DBLink模塊中的錯誤允許攻擊者通過本地trust或ident認證獲得超級用戶權(quán)限。

<*來源：PostgreSQL Global Development Group ([email protected])

鏈接：http://secunia.com/advisories/28359/

http://marc.info/?l=bugtraq&m=119972709218341&w=2

http://security.gentoo.org/glsa/glsa-200801-15.xml

建議：

廠商補?。?/p>

PostgreSQL

----------

廠商發(fā)布了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://www.postgresql.org/ftp/source/

http://www.postgresql.org/ftp/binary/

Gentoo

------

Gentoo發(fā)布了一個安全公告(GLSA-200801-15)以及相應(yīng)補丁:

GLSA-200801-15：PostgreSQL: Multiple vulnerabilities

鏈接：http://security.gentoo.org/glsa/glsa-200801-15.xml

所有PostgreSQL用戶都應(yīng)升級到最新版本：

# emerge --sync

# emerge --ask --oneshot --verbose "dev-db/postgresql"

以上的相關(guān)內(nèi)容就是對PostgreSQL權(quán)限提升和拒絕服務(wù)漏洞的介紹，望你能有所收獲。

【編輯推薦】

Sun Java運行時環(huán)境XML解析拒絕服務(wù)漏洞
Sun OpenSolaris內(nèi)核Panic遠程拒絕服務(wù)漏洞
Perl UTF-8規(guī)則表達式處理遠程拒絕服務(wù)漏洞

文章題目：對PostgreSQL權(quán)限提升與拒絕服務(wù)漏洞的描述
本文路徑：http://m.fisionsoft.com.cn/article/dppsepg.html

新聞中心

其他資訊