CH azonosító
CH-10607Angol cím
PostgreSQL Multiple VulnerabilitiesFelfedezés dátuma
2014.02.20.Súlyosság
AlacsonyÉrintett rendszerek
PostgreSQLPostgreSQL Global Development Group
Érintett verziók
PostgreSQL 8.x
PostgreSQL 9.x
Összefoglaló
A PostgreSQL sérülékenységei váltak ismertté, melyet kihasználva a támadók megkerülhetnek biztonsági korlátozásokat, szolgáltatás megtagadást ( DoS Denial of Service) okozhatnak és feltörhetik a pontenciálisan sérülékeny rendszert.
Leírás
- Amikor a szerepek kezelésre kerülnek egy hiba jelentkezik, és ez kihasználható arra hogy más tagoktól visszavonható legyen a hozzáférés.
- Több hiba jelentkezik PL hitelesítő funkciókban, ez kihasználható hogy egyébként nem használható funkciók hozzáférhetővé váljanak.
- Több hiba jelentkezik a névlekérdezéseknél, és ez kihasználható hogy a jogosultságokat kezelő táblával szemben egy másik táblázattal hajtsák végre ugyan azt a műveletet.
- Néhány határ hiba jelentkezik amikor kezelésre kerül a “datetime input/output” és ez kihasználható puffer túlcsordulás előidézésére.
- Néhány egész szám túlcsordulás hiba kihasználható puffer túlcsordulásra.
A #4 #5 sérülékenység sikeres kihasználása esetén tetszőleges kód futtatható.
A sérülékenységeket a 9.3.3, 9.2.7, 9.1.12, 9.0.16, és 8.4.20. előtti verziókból jelentették.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 9.3.3, 9.2.7, 9.1.12, 9.0.16, or 8.4.20. verzióra.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.postgresql.org
Gyártói referencia: wiki.postgresql.org
SECUNIA 57054
CVE-2014-0060 - NVD CVE-2014-0060
CVE-2014-0061 - NVD CVE-2014-0061
CVE-2014-0062 - NVD CVE-2014-0062
CVE-2014-0063 - NVD CVE-2014-0063
CVE-2014-0064 - NVD CVE-2014-0064