Tcl实现权限提升漏洞

发布日期：2010-10-04
更新日期：2010-10-12受影响系统：
PostgreSQL PostgreSQL 9.x
PostgreSQL PostgreSQL 8.x
PostgreSQL PostgreSQL 7.x
不受影响系统：
PostgreSQL PostgreSQL 9.0.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 43747
CVE ID: CVE-2010-3433,CVE-2010-3781PostgreSQL是一款高级对象－关系型数据库管理系统，支持扩展的SQL标准子集。PostgreSQL的PL/perl和PL/Tcl实现没有正确地保护同一会话中不同SQL用户身份所执行的脚本，用户可使用PL/Perl和PL/Tcl语音的功能修改其他用户所创建的SECURITY DEFINER函数的行为。如果PL/Perl或PL/Tcl语言用于实现SECURITY DEFINER函数，通过认证的数据库用户就可以使用PL/Perl或PL/Tcl脚本在同一会话的之后调用期间修改该函数的行为。这可能导致以创建SECURITY DEFINER函数的用户权限执行修改的或注入的代码，造成权限提升。<*来源：Tim Bunce

链接：http://secunia.com/advisories/41692/
https://bugzilla.redhat.com/show_bug.cgi？format=multiple&id=639371
https://www.redhat.com/support/errata/RHSA-2010-0742.html
*>建议：
--------------------------------------------------------------------------------
厂商补丁：PostgreSQL
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.postgresql.org/docs/9.0/static/release-9-0-1.htmlRedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2010:0742-01）以及相应补丁:
RHSA-2010:0742-01：Moderate: postgresql and postgresql84 security update
链接：https://www.redhat.com/support/errata/RHSA-2010-0742.htmlApache APR-util apr_brigade_split_line函数远程拒绝服务漏洞Pidgin pidgin-knotify插件远程SHELL命令注入漏洞相关资讯 PostgreSQL

Ubuntu 16.04 下安装 PostgreSQL （08月14日）
PostgreSQL 发布全系安全更新（02月12日）
使用pg_basebackup搭建PostgreSQL （12/30/2015 09:00:29）

Linux下RPM包方式安装PostgreSQL （03月04日）
PostgreSQL9.5新特性之行级安全性（01月19日）
利用pgpool实现PostgreSQL的高可用（12/30/2015 08:54:36）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论