SQL инъекция в pam-pgsql

Дата публикации:
30.03.2004
Всего просмотров:
1070
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: pam-pgsql 0.5.2-5

Описание: Уязвимость обнаружена в pam-pgsql. Удаленный пользователь может внедрить произвольные SQL команды.

Модуль libpam-psql PAM, использующий для аутентификации PostgreSQL базу данных, не проверяет данные, представленные пользователем в нескольких переменных. Удаленный пользователь может внедрить SQL выражение, которое будет выполнено на основной базе данных.

Недостаток расположен в функциях auth_verify_password() и pam_sm_chauthtok() в 'pam_pgsql.c' файле.

URL производителя:http://sourceforge.net/projects/pam-pgsql

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: CAN-2004-0366

или введите имя

CAPTCHA