Perl DBD::Pg modul formátum string sérülékenységek


2012. március 12. 08:46

CH azonosító

CH-6510

Angol cím

Perl DBD::Pg Module Two Format String Vulnerabilities

Felfedezés dátuma

2012.03.08.

Súlyosság

Alacsony

Érintett rendszerek

DBD::Pg module
Perl

Érintett verziók

DBD::Pg 2.x (Perl modul)

Összefoglaló

A Perl DBD::Pg modul olyan sérülékenységei váltak ismertté, amelyeket a támadók a modul segítségével kihasználhatnak az alkalmazás feltörésére.

Leírás

  1. Az adatbázis feljegyzések kezelésekor jelentkezik egy formátum string hiba a “pg_warn()” függvényben (dbdimp.c).
  2. A DBD feltételek elkészítésekor jelentkezik egy formátum string hiba a “dbd_st_prepare()” függvényben (dbdimp.c).

A sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszi lehetővé, amennyiben csatlakozás történik egy rosszindulatú adatbázis kiszolgálóhoz.

A sérülékenységeket a 2.18.1. verzióban ismerték fel, de más verziók is érintettek lehetnek.

Megoldás

Ne csatlakozzon nem megbízható adatbázis kiszolgálókhoz.

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 48319
Egyéb referencia: bugs.debian.org
Egyéb referencia: rt.cpan.org

Legfrissebb sérülékenységek
CVE-2023-40088 – Android sérülékenysége
CVE-2023-40076 – Android sérülékenysége
CVE-2023-40077 – Android sérülékenysége
CVE-2023-49093 – HtmlUnit sérülékenysége
CVE-2023-42917 – Apple iOS sérülékenysége
CVE-2023-42916 – Apple iOS sérülékenysége
CVE-2023-37928 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4474 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4473 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-37927 – Zyxel NAS326 firmware sérülékenysége
Tovább a sérülékenységekhez »