对PostgreSQL权限提升与拒绝服务漏洞的描述

以下的文章主要描述的是PostgreSQL权限提升与拒绝服务漏洞受影响系统，以下就对PostgreSQL权限提升与拒绝服务漏洞受影响系统的主要内容的详细描述，望大家在浏览之后会对其有更深的了解。

成都创新互联专业为企业提供郸城网站建设、郸城做网站、郸城网站设计、郸城网站制作等企业网站建设、网页设计与制作、郸城企业网站模板建站服务，十年郸城做网站经验，不只是建网站，更提供有价值的思路和整体网络服务。

PostgreSQL PostgreSQL 8.2

PostgreSQL PostgreSQL 8.1

PostgreSQL PostgreSQL 8.0

PostgreSQL PostgreSQL 7.4

PostgreSQL PostgreSQL 7.3

不受影响系统：

PostgreSQL PostgreSQL 8.2.6

PostgreSQL PostgreSQL 8.1.11

PostgreSQL PostgreSQL 8.0.15

PostgreSQL PostgreSQL 7.4.19

PostgreSQL PostgreSQL 7.3.21

描述：

BUGTRAQ ID: 27163

CVE(CAN) ID: CVE-2007-6600,CVE-2007-4772,CVE-2007-6067,CVE-2007-4769,CVE-2007-6601

PostgreSQL是一款高级对象-关系型数据库管理系统，支持扩展的SQL标准子集。

PostgreSQL允许用户对用户定义函数的结果创建索引，被称为“表达式索引”，这导致了两个权限提升漏洞：(1)在VACUUM和ANALYZE期间索引函数是以超级用户权限而不是表格所有者的权限执行的;(2)索引函数中允许SET ROLE和SET SESSION AUTHORIZATION。

PostgreSQL所使用的正则表达式库中存在3个独立的漏洞，允许恶意用户在SQL查询中传送特定的正则表达式导致拒绝服务：(1)用户可以使用某些特定的正则表达式触发死循环;(2)某些复杂的正则表达式可能消耗过多的内存;(3)用户可以使用越界的backref号导致后端崩溃。

DBLink模块中的错误允许攻击者通过本地trust或ident认证获得超级用户权限。

<*来源：PostgreSQL Global Development Group (josh@postgresql.org)

链接：http://secunia.com/advisories/28359/

http://marc.info/?l=bugtraq&m=119972709218341&w=2

http://security.gentoo.org/glsa/glsa-200801-15.xml

*>

建议：

厂商补丁：

PostgreSQL

----------

厂商发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.postgresql.org/ftp/source/

http://www.postgresql.org/ftp/binary/

Gentoo

------

Gentoo发布了一个安全公告(GLSA-200801-15)以及相应补丁:

GLSA-200801-15：PostgreSQL: Multiple vulnerabilities

链接：http://security.gentoo.org/glsa/glsa-200801-15.xml

所有PostgreSQL用户都应升级到最新版本：

# emerge --sync

# emerge --ask --oneshot --verbose "dev-db/postgresql"

以上的相关内容就是对PostgreSQL权限提升和拒绝服务漏洞的介绍，望你能有所收获。

【编辑推荐】

1. Sun Java运行时环境XML解析拒绝服务漏洞
2. Sun OpenSolaris内核Panic远程拒绝服务漏洞
3. Perl UTF-8规则表达式处理远程拒绝服务漏洞

文章题目：对PostgreSQL权限提升与拒绝服务漏洞的描述
本文链接：http://www.mswzjz.com/qtweb/news34/202834.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联