Отказ в обслуживании и выполнение произвольных команд в PostgreSQL

Дата публикации:
05.05.2005
Дата изменения:
17.10.2006
Всего просмотров:
1057
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: PostgreSQL 7.3 - 8.0.2

Описание:
Уязвимость позволяет удаленному авторизованному пользователю вызвать отказ в обслуживании базы данных и выполнить произвольные команды на целевой системе.

1. Уязвимость обнаружена в функциях преобразования символов. Удаленный авторизованный пользователь может передать уязвимой функции специально сформированные значения и выполнить произвольные команды на системе.

2. Уязвимость существует из-за того, что модуль contrib/tsearch2 объявляет некоторые функции как внутренние, хотя у этих функций нет ни одного внутреннего аргумента. Удаленный пользователь может создать специально сформированный SQL код, и вызвать функции, которые принимают внутренние аргументы, что позволит злоумышленнику вызвать отказ в обслуживании приложения.

URL производителей: www.postgresql.org

Решение: Установите исправление от производителя.

Ссылки: Character conversion & tsearch2 vulnerabilities

или введите имя

CAPTCHA