Повышение привилегий в PostgreSQL

Дата публикации:
08.10.2010
Дата изменения:
08.10.2010
Всего просмотров:
2158
Опасность:
Низкая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:S/C:P/I:P/A:P/E:U/RL:W/RC:C) = Base:6/Temporal:4.8
CVE ID:
CVE-2010-3433
Вектор эксплуатации:
Удаленная
Воздействие:
Повышение привилегий
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PostgreSQL 7.x
PostgreSQL 8.x
PostgreSQL 9.x
Уязвимые версии: PostgreSQL версии до 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 и 7.4.30

Описание:
Уязвимость позволяет удаленному пользователю повысить свои привилегии в приложении.

Уязвимость существует из-за ошибки в приложении при выполнении функции в сессии другого пользователя. Злоумышленник может выполнить произвольные SQL команды с привилегиями другого пользователя. Для успешной эксплуатации уязвимости требуется, чтобы функции и процедуры внешних языков для процедур использовали функции SECURITY DEFINER, SET ROLE или SET SESSION AUTHORIZATION.

URL производителя: www.postgresql.org

Решение: Установите последнюю версию 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 и 7.4.30 с сайта производителя.
Производитель устранил уязвимость для PL/perl и PL/tcl. Исправление для PL/PHP в стадии разработки.
Ссылки: http://www.postgresql.org/about/news.1244
http://wiki.postgresql.org/wiki/20101005securityrelease

или введите имя

CAPTCHA