Множественные уязвимости в PostgreSQL

Дата публикации:
11.01.2008
Дата изменения:
02.04.2008
Всего просмотров:
1691
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-4769
CVE-2007-4772
CVE-2007-6600
CVE-2007-6601
CVE-2007-6067
Вектор эксплуатации:
Локальная сеть
Воздействие:
Отказ в обслуживании
Повышение привилегий
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PostgreSQL 7.x
PostgreSQL 8.x
Уязвимые версии: PostgreSQL версии 7.3, 7.4, 8.0, 8.1 и 8.2

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и повысить свои привилегии.

1. Функции индексирования выполняются с привилегиями суперпользователя во время "VACUUM" иd "ANALYZE". Злоумышленник может повысить свои привилегии в приложении.

2. Разрешается использование "SET ROLE" и "SET SESSION AUTHORIZATION" в функциях индексирования, что может позволить злоумышленнику повысить свои привилегии.

3. Уязвимость существует из-за различных ошибок в регулярных выражениях при обработке SQL запросов. Злоумышленник может с помощью специально сформированного SQL запроса вызвать зацикливание приложения и потребить большое количество системных ресурсов.

4. Уязвимость существует из-за ошибок в модуле DBLink, которые позволяют злоумышленнику (при использовании с local trust или ident authentication) получить привилегии суперпользователя.

URL производителя: www.postgresql.org

Решение: Установите последнюю версию 8.2.6, 8.1.11, 8.0.15, 7.4.19 или 7.3.21 с сайта производителя.

или введите имя

CAPTCHA