Érintett rendszerek
PostgreSQLPostgreSQL Global Development Group
Érintett verziók
PostgreSQL Global Development Group PostgreSQL 8.0 - 8.2, 7.3, 7.4
Összefoglaló
Jelentettek néhány sebezhetőséget a PostgreSQL-ben, melyeket kihasználva rosszindulatú felhasználók emelt szintű jogosultságot szerezhetnek vagy szolgáltatás megtagadást (DoS) okozhatnak.
Leírás
Jelentettek néhány sebezhetőséget a PostgreSQL-ben, melyeket kihasználva rosszindulatú felhasználók emelt szintű jogosultságot szerezhetnek vagy szolgáltatás megtagadást (DoS) okozhatnak.
- Az indexelő eljárások superuser jogosultsággal futnak a “VACUUM” és “ANALYZE” során. Ezt kihasználva emelt szintű jogosultság szerezhető.
- A “SET ROLE” és “SET SESSION AUTHORIZATION” engedélyezve vannak az indexelő eljárásokban. Ezt kihasználva emelt szintű jogosultság szerezhető.
- SQL lekérdezésekben regular expression (szabályos kifejezés) feldolgozásakor fellépő hibákat kihasználva végtelen ciklust lehet létrehozni, ami nagy memória felhasználáshoz, a backend lefagyásához és így szolgáltatás megtagadáshoz vezet.
- Helyi azonosítás esetén a DBLink modul hibáit kihasználva superuser jogosultság szerezhető.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
CVE-2007-6600 - NVD CVE-2007-6600
CVE-2007-4769 - NVD CVE-2007-4769
CVE-2007-4772 - NVD CVE-2007-4772
Gyártói referencia: www.postgresql.org
CVE-2007-6601 - NVD CVE-2007-6601
CVE-2007-6067 - NVD CVE-2007-6067
SECUNIA 28359