Множественные уязвимости в PostgreSQL
| Дата публикации: | 11.09.2009 |
| Дата изменения: | 04.11.2009 |
| Всего просмотров: | 2904 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2009-3229 CVE-2009-3230 CVE-2009-3231 |
| Вектор эксплуатации: | Локальная сеть |
| Воздействие: |
Отказ в обслуживании Повышение привилегий Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
PostgreSQL 7.x
PostgreSQL 8.x |
| Уязвимые версии: PostgreSQL версии до 8.4.1, 8.3.8, 8.2.14, 8.1.18, 8.0.22 и 7.4.26.
Описание: 1. Уязвимость существует из-за ошибки при подключении к LDAP серверу с пустым паролем. Удаленный пользователь может обойти механизм аутентификации. Для успешной эксплуатации уязвимости требуется определенная настройка LDAP сервера. Уязвимость распространяется на ветки 8.2 и 8.3.
2. Уязвимость существует из-за отсутствия защиты от выполнения "RESET SESSION AUTHORIZATION" в функциях индексирования. Удаленный пользователь может повысить свои привилегии в приложении. Уязвимость относится к: Уязвимые ветки: 8.4, 8.3, 8.2, 8.1, 8.0 и 7.4. 3. Уязвимость существует из-за ошибки которая позволяет завершить работу сервера путем перезагрузки библиотек из "$libdir/plugins". Для успешной эксплуатации уязвимости требуется, чтобы библиотеки присутствовали в каталоге "$libdir/plugins". Уязвимые ветки 8.4, 8.3 и 8.2. URL производителя: www.postgresql.org Решение: Установите последнюю версию 8.4.1, 8.3.8, 8.2.14, 8.1.18, 8.0.22 или 7.4.26 с сайта производителя. Журнал изменений:
08.10.2009 |
|
| Ссылки: | http://www.postgresql.org/support/security.html |