CH azonosító
CH-10607Angol cím
PostgreSQL Multiple VulnerabilitiesFelfedezés dátuma
2014.02.20.Súlyosság
AlacsonyÉrintett rendszerek
PostgreSQLPostgreSQL Global Development Group
Érintett verziók
PostgreSQL 8.x
PostgreSQL 9.x
Összefoglaló
A PostgreSQL sérülékenységei váltak ismertté, melyet kihasználva a támadók megkerülhetnek biztonsági korlátozásokat, szolgáltatás megtagadást ( DoS Denial of Service) okozhatnak és feltörhetik a pontenciálisan sérülékeny rendszert.
Leírás
- Amikor a szerepek kezelésre kerülnek egy hiba jelentkezik, és ez kihasználható arra hogy más tagoktól visszavonható legyen a hozzáférés.
- Több hiba jelentkezik PL hitelesítő funkciókban, ez kihasználható hogy egyébként nem használható funkciók hozzáférhetővé váljanak.
- Több hiba jelentkezik a névlekérdezéseknél, és ez kihasználható hogy a jogosultságokat kezelő táblával szemben egy másik táblázattal hajtsák végre ugyan azt a műveletet.
- Néhány határ hiba jelentkezik amikor kezelésre kerül a “datetime input/output” és ez kihasználható puffer túlcsordulás előidézésére.
- Néhány egész szám túlcsordulás hiba kihasználható puffer túlcsordulásra.
A #4 #5 sérülékenység sikeres kihasználása esetén tetszőleges kód futtatható.
A sérülékenységeket a 9.3.3, 9.2.7, 9.1.12, 9.0.16, és 8.4.20. előtti verziókból jelentették.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 9.3.3, 9.2.7, 9.1.12, 9.0.16, or 8.4.20. verzióra.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.postgresql.org
Gyártói referencia: wiki.postgresql.org
SECUNIA 57054
CVE-2014-0060 - NVD CVE-2014-0060
CVE-2014-0061 - NVD CVE-2014-0061
CVE-2014-0062 - NVD CVE-2014-0062
CVE-2014-0063 - NVD CVE-2014-0063
CVE-2014-0064 - NVD CVE-2014-0064