Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
PostgreSQL
(7.4, 7.4.8, 8.0, 8.0.2)
Описание
Переполнение буфера в модуле gram.y в PostgreSQL могут позволить злоумышленникам выполнить произвольный код, используя большое количество переменных в SQL-запросе, обрабатываемом функцией read_sql_construct; большое количество переменных INTO в запросе SELECT, обрабатываемом функцией make_select_stmt; большое количество произвольных переменных в запросе SELECT, обрабатываемом функцией make_select_stmt, или большое количество переменных INTO в запросе FETCH, обрабатываемом функцией make_fetch_stmt.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.postgresql.org/
http://www.postgresql.org/
Ссылки
MLIST ([pgsql-committers] 20050207 pgsql: Prevent 4 more buffer overruns in the PL/PgSQL parser.): http://archives.postgresql.org/pgsql-committers/2005-02/msg00049.php
DEBIAN (DSA-683): http://www.debian.org/security/2005/dsa-683
GENTOO (GLSA-200502-19): http://www.gentoo.org/security/en/glsa/glsa-200502-19.xml
MANDRAKE (MDKSA-2005:040): http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:040
REDHAT (RHSA-2005:138): http://www.redhat.com/support/errata/RHSA-2005-138.html
REDHAT (RHSA-2005:150): http://www.redhat.com/support/errata/RHSA-2005-150.html
SUSE (SUSE-SA:2005:027): http://www.novell.com/linux/security/advisories/2005_27_postgresql.html
BUGTRAQ (20050210 [USN-79-1] PostgreSQL vulnerabilities): http://marc.theaimsgroup.com/?l=bugtraq&m=110806034116082&w=2
XF (postgresql-fetch-makefetchstmt-bo(19378)): http://xforce.iss.net/xforce/xfdb/19378
XF (postgresql-makeselectstmt-arbitrary-bo(19377)): http://xforce.iss.net/xforce/xfdb/19377
XF (postgresql-makeselectstmt-input-bo(19376)): http://xforce.iss.net/xforce/xfdb/19376
XF (postgresql-readsqlconstruct-bo(19375)): http://xforce.iss.net/xforce/xfdb/19375
SUSE (SUSE-SA:2005:036): http://www.novell.com/linux/security/advisories/2005_36_sudo.html
BID (12417): http://www.securityfocus.com/bid/12417
DEBIAN (DSA-683): http://www.debian.org/security/2005/dsa-683
GENTOO (GLSA-200502-19): http://www.gentoo.org/security/en/glsa/glsa-200502-19.xml
MANDRAKE (MDKSA-2005:040): http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:040
REDHAT (RHSA-2005:138): http://www.redhat.com/support/errata/RHSA-2005-138.html
REDHAT (RHSA-2005:150): http://www.redhat.com/support/errata/RHSA-2005-150.html
SUSE (SUSE-SA:2005:027): http://www.novell.com/linux/security/advisories/2005_27_postgresql.html
BUGTRAQ (20050210 [USN-79-1] PostgreSQL vulnerabilities): http://marc.theaimsgroup.com/?l=bugtraq&m=110806034116082&w=2
XF (postgresql-fetch-makefetchstmt-bo(19378)): http://xforce.iss.net/xforce/xfdb/19378
XF (postgresql-makeselectstmt-arbitrary-bo(19377)): http://xforce.iss.net/xforce/xfdb/19377
XF (postgresql-makeselectstmt-input-bo(19376)): http://xforce.iss.net/xforce/xfdb/19376
XF (postgresql-readsqlconstruct-bo(19375)): http://xforce.iss.net/xforce/xfdb/19375
SUSE (SUSE-SA:2005:036): http://www.novell.com/linux/security/advisories/2005_36_sudo.html
BID (12417): http://www.securityfocus.com/bid/12417