SQL инъекция в pam-pgsql
| Дата публикации: | 30.03.2004 |
| Всего просмотров: | 1383 |
| Опасность: | Средняя |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: pam-pgsql 0.5.2-5
Описание: Уязвимость обнаружена в pam-pgsql. Удаленный пользователь может внедрить произвольные SQL команды. Модуль libpam-psql PAM, использующий для аутентификации PostgreSQL базу данных, не проверяет данные, представленные пользователем в нескольких переменных. Удаленный пользователь может внедрить SQL выражение, которое будет выполнено на основной базе данных. Недостаток расположен в функциях auth_verify_password() и pam_sm_chauthtok() в 'pam_pgsql.c' файле. URL производителя:http://sourceforge.net/projects/pam-pgsql Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | CAN-2004-0366 |