Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
PostgreSQL
(10.0, 10.2, 9.3, 9.3.21, 9.4.0, 9.4.16, 9.5.0, 9.5.11, 9.6.0, 9.6.7)
Описание
Уязвимость в postgresql, связанная с созданием pg_upgrade файла в текущем рабочем каталоге, содержащего выходные данные `pg_dumpall -g` с маской umask, которая действовала при вызове пользователем pg_upgrade, а не с 0077, которая обычно используется для временных файлов, позволяет злоумышленникам, прошедшим аутентификацию, просматривать или изменять файлы, которые могут содержать зашифрованные или незашифрованные пароли баз данных. Уязвимость невозможно эксплуатировать, если права атакующего в каталоге не позволяют ему осуществлять поиск по текущему каталогу или если превалирующая маска umask запрещает атакующему открывать файлы.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.postgresql.org/
http://www.postgresql.org/
Ссылки
Источник: CVE
Наименование: CVE-2018-1053
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1053
Наименование: CVE-2018-1053
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1053