漏洞描述:PostgreSQL是PostgreSQL组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。
PostgreSQL中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。以下产品及版本受到影响:Postgresql 10.5之前版本,9.6.10之前版本,9.5.14之前版本,9.4.19之前版本,9.3.24之前版本。
解决办法:
升级PostgreSQL
厂商补丁:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.postgresql.org/about/news/1878/
PostgreSQL 安全漏洞(CVE-2018-10925)
描述:PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。
PostgreSQL中存在安全漏洞,该漏洞源于程序没有正确的检测带有‘INSERT ... ON CONFLICT DO UPDATE’语句的权限。攻击者可利用该漏洞读取服务器内存并可能更新同一表单中的其它列。以下版本受到影响:PostgreSQL 10.5之前版本,9.6.10之前版本,9.5.14之前版本,9.4.19之前版本,9.3.24之前版本。
解决办法 厂商补丁: 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: |
PostgreSQL 身份验证绕过漏洞(CVE-2017-7547)
描述PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集。
PostgreSQL < 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4版本存在身份验证漏洞,可使远程攻击者用空密码,获取数据库访问权限。
解决
PostgreSQL SQL注入漏洞(CVE-2021-23214)
PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。
PostgreSQL 存在安全漏洞,该漏洞源于PostgreSQL处理加密连接的方式造成的。攻击者可利用该漏洞执行MitM攻击。
解决:
厂商补丁: 目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法: https://www.cybersecurity-help.cz/vdb/SB2021111139 |