CH azonosító
CH-7409Angol cím
PostgreSQL "xml_parse()" and "xslt_process()" VulnerabilitiesFelfedezés dátuma
2012.08.16.Súlyosság
KözepesÉrintett rendszerek
PostgreSQLPostgreSQL Global Development Group
Érintett verziók
PostgreSQL 8.x, 9.x
Összefoglaló
A PostgreSQL olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók bizalmas adatokhoz juthatnak és feltörhetik a felhasználó rendszerét.
Leírás
- Az “xml_parse()” függvény XML dokumentumok DTD adatainak vizsgálatakor jelentkező hibáját kihasználva tetszőleges állomány olvasható.
- Az “xslt_process()” függvény XSLT stílus lapok vizsgálatakor jelentkező hibáját kihasználva például tetszőleges állomány felülírható.
A sebezhetőségeket a 9.1.5, 9.0.9, 8.4.13, és 8.3.20 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.postgresql.org
Gyártói referencia: www.postgresql.org
SECUNIA 50218
CVE-2012-3488 - NVD CVE-2012-3488
CVE-2012-3489 - NVD CVE-2012-3489
