Расширенный

Отказ в обслуживании

Отказ в обслуживании

19 июля 2012
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:S/C:C/I:N/A:C)
Производитель ПО
Наименование ПО
PostgreSQL (8.0, 8.0.11, 8.1, 8.1.7, 8.2, 8.2.2)
postgresql (Unknown)
Описание
Планировщик запросов в PostgreSQL не проверяет, совместима ли таблица с "предыдущим планом запросов", что позволяет удаленным авторизованным пользователям вызывать отказ в обслуживании (аварийное завершение работы сервера) и, возможно, получить доступ к содержимому базы данных, используя команду SQL "ALTER COLUMN TYPE" для считывания произвольных данных из памяти сервера.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.postgresql.org/
Ссылки
http://www.postgresql.org/support/security
UBUNTU (USN-417-1): http://www.ubuntulinux.org/support/documentation/usn/usn-417-1
FRSIRT (ADV-2007-0478): http://www.frsirt.com/english/advisories/2007/0478
BUGTRAQ (20070206 rPSA-2007-0025-1 postgresql postgresql-server): http://www.securityfocus.com/archive/1/archive/1/459280/100/0/threaded
BUGTRAQ (20070208 rPSA-2007-0025-2 postgresql postgresql-server): http://www.securityfocus.com/archive/1/archive/1/459448/100/0/threaded
MLIST ([security-announce] 20070206 rPSA-2007-0025-1 postgresql postgresql-server): http://lists.rpath.com/pipermail/security-announce/2007-February/000141.html
https://issues.rpath.com/browse/RPL-830
https://issues.rpath.com/browse/RPL-1025
http://support.avaya.com/elmodocs2/security/ASA-2007-117.htm
FEDORA (FEDORA-2007-198): http://fedoranews.org/cms/node/2554
GENTOO (GLSA-200703-15): http://security.gentoo.org/glsa/glsa-200703-15.xml
MANDRIVA (MDKSA-2007:037): http://www.mandriva.com/security/advisories?name=MDKSA-2007:037
REDHAT (RHSA-2007:0067): http://www.redhat.com/support/errata/RHSA-2007-0067.html
REDHAT (RHSA-2007:0068): http://www.redhat.com/support/errata/RHSA-2007-0068.html
SUNALERT (102825): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102825-1
TRUSTIX (2007-0007): http://www.trustix.org/errata/2007/0007
UBUNTU (USN-417-2): http://www.ubuntu.com/usn/usn-417-2
BID (22387): http://www.securityfocus.com/bid/22387
FRSIRT (ADV-2007-0774): http://www.frsirt.com/english/advisories/2007/0774
SECTRACK (1017597): http://securitytracker.com/id?1017597
XF (postgresql-datatype-information-disclosure(32191)): http://xforce.iss.net/xforce/xfdb/32191
SUSE (SUSE-SR:2007:010): http://www.novell.com/linux/security/advisories/2007_10_sr.html