Удаленное выполнение произвольного кода в PostgreSQL

Дата публикации:
15.02.2005
Дата изменения:
17.10.2006
Всего просмотров:
1195
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: PostgreSQL 8.0.1 и более ранние версии

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю выполнить произвольный код на уязвимой системе.

Обнаружено несколько переполнение буфера в PL/PgSQL парсере в файле gram.y. Переполнение буфера существует в функции read_sql_construct() при обработке большого количества переменных; переполнение буфера существует в функции make_select_stmt() при обработке большого количества переменных, включая переменные INTO переменных в SELECT запросе; переполнение буфера в функции make_fetch_stmt() при обработке большого количества INTO переменных в FETCH запросе. Удаленный пользователь может с помощью специально сформированного PL/PgSQL запроса выполнить произвольный код на системе с правами пользователя, запустившего базу данных.

URL производителя: http://www.postgresql.org

Решение: Установите последнюю версию с сайта производителя.



Ссылки: PostgreSQL: Buffer overflows in PL/PgSQL parser

или введите имя

CAPTCHA