PostgreSQL sérülékenységek

CH azonosító

CH-6457

Angol cím

PostgreSQL Multiple Vulnerabilities

Felfedezés dátuma

2012.02.27.

Súlyosság

Alacsony

Érintett rendszerek

PostgreSQL
PostgreSQL Global Development Group

Érintett verziók

PostgreSQL 8.x, 9.x

Összefoglaló

A PostgreSQL több sérülékenységét jelentették, amelyeket kihasználva a felhasználók megkerülhetik a biztonsági szabályokat, illetve a támadók hamisításos (spoofing) támadást indíthatnak, valamint módosíthatnak bizonyos adatokat.

Leírás

  1. A CREATE TRIGGER függvény lefuttatásakor nem történik meg a jogosultság ellenőrzés, amit kihasználva a trigger függvényt SECURITY DEFINER-ként lehet megjelölni, ami pedig EXECUTE jogosultsággal jár.
  2. Az SSL tanúsítvány “common name” mezőjének 32 karakterre történő csonkolása nem megfelelő módon történik, amit kihasználva a hamisított tanúsítványokat is hitelesnek lehet elfogadtatni.
  3. A pg_dump egy bemeneti adat megtisztítási hibáját kihasználva, ami az objektum nevek kommentekbe történő beszúrása közben jelentkezik, egy soremelés (linefeed) karakter segítségével SQL parancsot lehet beszúrni a dump script-be.

A sérülékenységeket a 9.1.3, 9.0.7, 8.4.11 és a 8.3.18 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
Tovább a sérülékenységekhez »