新闻快讯
< >

PostgreSQL发布三大漏洞补丁(附修复链接)

E安全8月15日讯 PostgreSQL发布了针对9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的三大安全补丁,开发人员应尽快更新。

PostgreSQL 8月10日发布公告指出,PostgreSQL全球开发团队宣布推出PostgreSQL 10 Beta 3,并发布了针对9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的更新。

1.jpg

漏洞:CVE-2017-7547

这个热门的对象关系数据库管理系统(ORDBMS)受漏洞CVE-2017-7547影响,攻击者可远程利用该漏洞获取他人密码。

Bugzilla指出,PostgreSQL在处理pg_user_mappings视图过程中存在授权漏洞。经验证的远程攻击者可能会利用该漏洞从用户映射中获取密码,执行此操作无需具备特权。

这篇公告指出,The pg_user_mappings视图长期要求具有外部服务器的特权,以便能查看与服务器用户映射相关的“选项”,尤其是密码。针对CVE-2017-7486的补丁删除了这种需求,这样一来,每个用户便能从外部服务器提供商为问题用户定义的用户映射中获取密码,即使外部服务器提供商未授权任何实际的特权,问题用户也可能会获取密码,并通过另一种机制连接。

漏洞:CVE-2017-7546

导致服务器接受空密码的漏洞CVE-2017-7546。

公告指出,尽管libpq拒绝发送空密码,但仍能使用空密码验证PostgreSQL数据库账号。远程攻击者可利用该漏洞获取数据库账号的权限。

几种验证方法,包括广泛使用的“md5”也允许使用空密码。在客户端,Libpq将不会发送空密码,这可能已经造成一种错觉:空密码等同于禁用账号(这些账号要求使用密码的验证方法)。相反,攻击者可能很容易被验证为用户。

漏洞:CVE-2017-7548

该漏洞存在于lo_put()函数中,其缺失权限检查,允许任何用户修改“大对象”(Large Object)中的数据。

公告指出, PostgreSQL处理大对象过程存在授权漏洞,经验证的远程用户不具备任何特权就能利用该漏洞重写整个对象内容,最终导致拒绝服务。

PostgreSQL还提醒用户,将于9月停止使用版本9.2。

相关链接:https://www.postgresql.org/about/news/1772/

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。