PostgreSQL發布了針對9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的三大安全補丁,開發人員應盡快更新。
PostgreSQL 8月10日發布公告指出,PostgreSQL全球開發團隊宣布推出PostgreSQL 10 Beta 3,并發布了針對9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的更新。
1.jpg
漏洞:CVE-2017-7547
這個熱門的對象關系數據庫管理系統(ORDBMS)受漏洞CVE-2017-7547影響,攻擊者可遠程利用該漏洞獲取他人密碼。
Bugzilla指出,PostgreSQL在處理pg_user_mappings視圖過程中存在授權漏洞。經驗證的遠程攻擊者可能會利用該漏洞從用戶映射中獲取密碼,執行此操作無需具備特權。
這篇公告指出,The pg_user_mappings視圖長期要求具有外部服務器的特權,以便能查看與服務器用戶映射相關的“選項”,尤其是密碼。針對CVE-2017-7486的補丁刪除了這種需求,這樣一來,每個用戶便能從外部服務器提供商為問題用戶定義的用戶映射中獲取密碼,即使外部服務器提供商未授權任何實際的特權,問題用戶也可能會獲取密碼,并通過另一種機制連接。
漏洞:CVE-2017-7546
導致服務器接受空密碼的漏洞CVE-2017-7546。
公告指出,盡管libpq拒絕發送空密碼,但仍能使用空密碼驗證PostgreSQL數據庫賬號。遠程攻擊者可利用該漏洞獲取數據庫賬號的權限。
幾種驗證方法,包括廣泛使用的“md5”也允許使用空密碼。在客戶端,Libpq將不會發送空密碼,這可能已經造成一種錯覺:空密碼等同于禁用賬號(這些賬號要求使用密碼的驗證方法)。相反,攻擊者可能很容易被驗證為用戶。
漏洞:CVE-2017-7548
該漏洞存在于lo_put()函數中,其缺失權限檢查,允許任何用戶修改“大對象”(Large Object)中的數據。
公告指出, PostgreSQL處理大對象過程存在授權漏洞,經驗證的遠程用戶不具備任何特權就能利用該漏洞重寫整個對象內容,最終導致拒絕服務。
PostgreSQL還提醒用戶,將于9月停止使用版本9.2。
京公網安備 11010502049343號