Множественные уязвимости в PostgreSQL

Дата публикации:
07.03.2014
Дата изменения:
07.03.2014
Всего просмотров:
914
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
5
CVSSv2 рейтинг:
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:3.3/Temporal:2.4
(AV:A/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:3.3/Temporal:2.4
CVE ID:
CVE-2014-0060
CVE-2014-0061
CVE-2014-0062
CVE-2014-0063
CVE-2014-0064
Вектор эксплуатации:
Локальная сеть
Воздействие:
Отказ в обслуживании
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PostgreSQL 8.x
PostgreSQL 9.x
Уязвимые версии: PostgreSQL 8.х, 9.х, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в роли. Удаленный пользователь может получить доступ от имени чужой роли.

2. Уязвимость существует из-за множественных ошибок при обработке вызовов в функции средства проверки PL. Удаленный пользователь может получить доступ к иной ограниченной функциональности.

3. Уязвимость существует из-за некоторых ошибок при обработке списка имен. Удаленный пользователь может вызвать подтверждение на права доступа выполнить подтверждение с другой таблицы и выполнить иные ограниченные операции.

4. Уязвимость существует из-за некоторых ошибок во время проверки границ данных при обработке входа/выхода даты и времени. Удаленный пользователь может вызвать переполнение буфера на целевой системе.

5. Уязвимость существует из-за перечисленных ошибок. Удаленный пользователь может вызвать переполнение буфера на целевой системе.
Для успешной эксплуатации уязвимости № 4 и № 5 требуется выполнить произвольный код.

URL производителя: http://www.postgresql.org

Решение: Установите последнюю версию 9.3.3, 9.2.7, 9.1.12, 9.0.16 или 8.4.20 с сайта производителя.

Ссылки: http://www.postgresql.org/about/news/1506/
http://wiki.postgresql.org/wiki/20140220securityrelease

или введите имя

CAPTCHA