Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
PostgreSQL
(7.3, 7.3.21, 7.4, 7.4.19, 8.0, 8.0.15)
postgresql
(Unknown)
Описание
PostgreSQL с включенной локальной доверительной аутентификацией и установленной библиотекой Database Link (dblink) позволяет злоумышленникам, действующим удаленно, получать доступ к произвольным учетным записям и выполнять произвольные SQL-запросы, используя параметр host модуля dblink, который осуществляет proxy-соединение, исходящее от адреса 127.0.0.1.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.postgresql.org/
http://www.postgresql.org/
Ссылки
BUGTRAQ (20070616 Having Fun With PostgreSQL): http://www.securityfocus.com/archive/1/archive/1/471541/100/0/threaded
BUGTRAQ (20070618 Re: Having Fun With PostgreSQL): http://www.securityfocus.com/archive/1/471644/100/0/threaded
http://www.leidecker.info/pgshell/Having_Fun_With_PostgreSQL.txt
http://www.portcullis.co.uk/uplds/whitepapers/Having_Fun_With_PostgreSQL.pdf
BUGTRAQ (20070618 Re: Having Fun With PostgreSQL): http://www.securityfocus.com/archive/1/471644/100/0/threaded
http://www.leidecker.info/pgshell/Having_Fun_With_PostgreSQL.txt
http://www.portcullis.co.uk/uplds/whitepapers/Having_Fun_With_PostgreSQL.pdf
