롤 토토 Global Development Group (PGDG)은 보안을 심각하게 받아들입니다. 이것 우리의 사용자는 Postgresql을 보호하기 위해 미션 크리티컬 데이터.
토토 사이트은 공유하는 모델을 따릅니다. 롤 토토 자체와 배치 환경 간의 책임, 하드웨어, 운영 체제 및 응용 프로그램 계층을 포함합니다 (프로그래밍 언어, 프레임 워크 및 클라이언트 라이브러리). Postgresql Documentation 롤 토토의 고유 보안 기능에 대한 정보를 제공합니다. 그리고 롤 토토을 안전하게 구성하고 실행하는 방법.
보안 취약점은 롤 토토과 소프트웨어 모두에서 존재할 수 있습니다. 클라이언트 라이브러리, 확장자, 설치자를 포함한 롤 토토 생태계, 그리고 다른 유틸리티. 이 페이지는 보안으로 간주되는 것을 안내합니다 롤 토토의 취약성, 롤 토토 보안을보고하는 방법 취약성 및 보안 취약성에 대한 수정 방법이 출시되는 방법.
롤 토토 프로젝트는 버그 바운티를 제공하지 않습니다.
롤 토토 프로젝트는 CVE 번호 지위 (CNA)이며 Red Hat과 함께 일합니다. 우리의 CNA 뿌리로. 이를 통해 우리는 자신의 CVE 번호를 할당하고 CVE를 게시 할 수 있습니다. 롤 토토 및 밀접하게 관련된 프로젝트에 대한 기록.
우리는 현재 요청시 다음 프로젝트에 CVE 번호를 할당합니다cna@롤 토토.org:
추가 프로젝트는 이메일로 위의 목록에 포함을 요청할 수 있습니다cna@롤 토토.org.
참고 :보안 팀은 CVE를 프로젝트에만 할당합니다 프로젝트 회원이 요청할 때. 보안을 찾았다 고 생각한다면 롤 토토 이외의 프로젝트 또는 패키지 및 설치자 이외의 프로젝트에서 문제가 발생합니다. 해당 프로젝트의 보안 팀에 문의하십시오. 자세한 내용은 아래를 참조하십시오.
롤 토토의 보안 취약점은 사용자가 얻을 수있는 문제입니다. 사용 권한이없는 권한 또는 데이터에 대한 액세스 또는 사용자가 롤 토토 프로세스를 통해 임의의 코드를 실행할 수 있습니다.
롤 토토 보안 팀은 행동에 대한 보고서를 고려하지 않습니다. Superuser는 보안 취약성이됩니다. 그러나,에 대한 보고서 수퍼 유저로 에스컬레이션하는 환자는 일반적으로 유효한 자격이 있습니다.
롤 토토 보안 팀은 일반적으로 서비스 거부를 고려하지 않습니다. 인증 된 유효한 SQL 문의 롤 토토 서버에서 보안 취약성. 이 성격에 대한 서비스 거부 문제는 여전히 수 있습니다 A503 롤 토토 베이 페치 실패에서503 롤 토토 베이 페치 실패페이지.
postgresql.org 메일 링리스트에서 dmarc의 부족을보고하지 마십시오. 이것 디자인으로.
롤 토토 또는 링크 된 설치자의 보안 취약점 에서롤 토토 다운로드 페이지, 이메일security@롤 토토.org.
비 보안 버그를보고하려면 방문하십시오.503 롤 토토 베이 페치 실패페이지.
문제가 보안 취약점인지 확실하지 않은 경우 주의 및 이메일 측면security@롤 토토.org.
보안 취약점을보고하는 방법은 아래를 참조하십시오. 롤 토토 관련 프로젝트 :
롤 토토 프로젝트는의 일부로 보안 수정을 공개합니다.PostgreSQL : 사설 토토 사이트 관리 정책. 당신은 항상입니다 기타 포함 된 최신 마이너 버전을 사용하는 것이 좋습니다. 비 보안 관련 수정.
새로운 기능을 포함하는 새로운 롤 토토 메이저 릴리스에는 모든 사전에 보안 수정.
롤 토토에서 보안 취약점을 찾으면 롤 토토 보안 팀은 릴리스 노트에서 귀하를 인정하고 CVE를 등록합니다. 취약성.CVE와 독립적으로 등록하지 마십시오 롤 토토 보안 팀.
보안 릴리스 또는 기타 보안에 대한 알림을받습니다 관련 뉴스는 구독 할 수 있습니다 그만큼토토 커뮤니티 : 토토 커뮤니티 메일 링리스트메일 링리스트. 당신이 당신을 설정했다면 태그 만 포함하려는 구독보안이 목록으로 전송 된 기타 모든 공지 사항 제외.
토토 사이트은 그 정확성, 완전성을 믿습니다 보안 정보의 가용성은 사용자에게 필수적입니다. 우리는 선택합니다 이 한 페이지에 모든 정보를 모으려면 보안을 쉽게 검색 할 수 있습니다. 다양한 기준에 대한 취약점. 여기에는 다음이 포함됩니다 :
보안 취약점에 대한 자세한 정보를 찾을 수 있습니다. 아래 표에서 링크를 클릭하십시오.
현재 롤 토토 보안 취약점을보고 있습니다 지원되지 않는 버전. 여전히 롤 토토 8.4를 사용하는 경우 가능한 빨리 업그레이드해야합니다.
패치의 뷰를 필터링하여 버전의 패치 만 표시 할 수 있습니다.
와이즈 롤 토토 : 보안 정보 -
스포츠 토토 결과 : 보안 정보 -
스포츠 롤 토토 : 보안 정보 -
젠 롤 토토 : 보안 정보 -
메이저 토토 사이트 : 보안 정보
- 롤 토토 : 보안 정보
| 참조 | 영향을받는 | 고정 | 구성 요소& CVSS V3 기본 점수 | 설명 |
|---|---|---|---|---|
|
사설 토토 사이트 : CVE-2014-0066 : |
9.3, 9.2, 9.1, 9.0, 8.4 | 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20 | Contrib Module 0.0 av : n/ac : h/pr : l/ui : n/s : u/c : n/i : n/a : n |
Crypt (3)을 반환 할 때 잠재적 널 포인터 Dereference 충돌 사설 롤 토토 사이트 : CVE-2014-0066 : Crypt (3)이 NULL을 반환 할 때 잠재적 인 NULL 포인터 DEREFERENCE CRASH. |
|
와이즈 토토 : CVE-2014-0065 : |
9.3, 9.2, 9.1, 9.0, 8.4 | 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20 | Core Server 0.0 av : n/ac : h/pr : l/ui : n/s : u/c : n/i : n/a : n |
고정 크기 버퍼의 전위 버퍼 오버런. 와이즈 롤 토토 : CVE-2014-0065 : 고정 크기 버퍼의 잠재적 버퍼 오버런. |
|
스포츠 토토 결과 : CVE-2014-0064 : |
9.3, 9.2, 9.1, 9.0, 8.4 | 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20 | Core Server 6.5 av : n/ac : h/pr : n/ui : n/s : u/c : n/i : l/a : h |
크기 계산의 정수 오버플로로 인한 잠재적 버퍼 오버런. 스포츠 롤 토토 결과 : CVE-2014-0064 : 크기 계산의 정수 오버플로로 인한 잠재적 버퍼 오버런. |
|
배트맨 토토 : CVE-2014-0063 : |
9.3, 9.2, 9.1, 9.0, 8.4 | 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20 | Core Server 4.3 av : n/ac : l/pr : l/ui : n/s : u/c : n/i : l/a : n |
DateTime 입력/출력에서 전위 버퍼 오버런. 배트맨 롤 토토 : CVE-2014-0063 : DateTime 입력/출력에서 잠재적 버퍼 오버런. |
|
토토 : CVE-2014-0062 : |
9.3, 9.2, 9.1, 9.0, 8.4 | 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20 | Core Server 8.8 av : n/ac : l/pr : l/ui : n/s : u/c : h/i : h/a : h |
생성 인덱스의 레이스 조건은 특권 에스컬레이션을 허용합니다. 롤 토토 : CVE-2014-0062 : 생성 인덱스의 레이스 조건은 권한 에스컬레이션을 허용합니다. |
|
토토 결과 : CVE-2014-0061 : |
9.3, 9.2, 9.1, 9.0, 8.4 | 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20 | Core Server 7.5 av : n/ac : h/pr : l/ui : n/s : u/c : h/i : h/a : h |
유효성 검사 기능에 대한 호출을 통한 권한 에스컬레이션. 롤 토토 결과 : CVE-2014-0061 : 유효성 검사기 기능에 대한 호출을 통한 권한 에스컬레이션. |
|
사설 토토 : CVE-2014-0060 |
9.3, 9.2, 9.1, 9.0, 8.4 | 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20 | Core Server 3.1 av : n/ac : h/pr : l/ui : n/s : u/c : n/i : n/a : l |
역할 설정 우회 옵션 부족. 사설 토토 : CVE-2014-0060 : 역할 설정 우회 옵션 옵션 설정 |
|
롤 토토 : CVE-2013-1900 |
9.2, 9.1, 9.0, 8.4 | 9.2.4, 9.1.9, 9.0.13, 8.4.17 | Contrib Module 레거시 : C |
Contrib/Pgcrypto 함수에 의해 생성 된 랜덤 숫자는 다른 데이터베이스 사용자가 추측하기 쉬울 수 있습니다 롤 토토 : CVE-2013-1900 : Contrib/Pgcrypto 기능으로 생성 된 임의의 숫자는 다른 데이터베이스 사용자가 추측하기 쉬울 수 있습니다 |
|
배트맨 토토 : CVE-2013-0255 : |
9.2, 9.1, 9.0, 8.4, 8.3 | 9.2.3, 9.1.8, 9.0.12, 8.4.16, 8.3.23 | Core Server 레거시 : D |
잘못된 매개 변수가있는 enum_recv () 실행 서버 충돌 배트맨 롤 토토 : CVE-2013-0255 : 잘못된 매개 변수가있는 enum_recv () 실행 서버 충돌 |
|
토토 사이트 : CVE-2012-3489 : |
9.1, 9.0, 8.4, 8.3 | 9.1.5, 9.0.9, 8.4.13, 8.3.20 | Core Server 레거시 : C |
XML_PARSE () DTD 검증을 사용하여 임의의 파일을 읽을 수 있습니다 롤 토토 사이트 : CVE-2012-3489 : XML_PARSE () DTD 검증을 사용하여 임의의 파일을 읽을 수 있습니다 |
|
와이즈 토토 : CVE-2012-3488 |
9.1, 9.0, 8.4, 8.3 | 9.1.5, 9.0.9, 8.4.13, 8.3.20 | Contrib Module 레거시 : C |
Contrib/XML2의 XSLT_Process ()를 사용하여 임의의 파일을 읽고 쓰는 데 사용할 수 있습니다 와이즈 토토 : CVE-2012-3488 : Contrib/XML2의 XSLT_PROCESS ()는 임의 파일을 읽고 쓰는 데 사용될 수 있습니다 |
|
CVE-2012-2655 |
9.1, 9.0, 8.4, 8.3 | 9.1.4, 9.0.8, 8.4.12, 8.3.19 | Core Server 레거시 : D |
절차 통화 핸들러에서 보안 정의 및 설정 속성 설정은 무시되지 않으며 서버를 충돌시키는 데 사용될 수 있습니다 자세한 내용 |
|
무지개 토토 : cve-2012-2143 : |
9.1, 9.0, 8.4, 8.3 | 9.1.4, 9.0.8, 8.4.12, 8.3.19 | Contrib Module 레거시 : C |
des 암호화가 사용 된 경우 pgcrypto의 crypt () 함수로 전달 된 바이트 0x80을 포함하는 비밀번호 무지개 롤 토토 : cve-2012-2143 : pgcrypto의 crypt () 함수로 전달 된 바이트 0x80이 포함 된 암호는 des 암호화가 사용되면 |
|
토토 사이트 순위 : CVE-2012-0868 |
9.1, 9.0, 8.4, 8.3 | 9.1.3, 9.0.7, 8.4.11, 8.3.18 | Core Server 레거시 : C |
PG_DUMP 파일을 다시로드 할 때 임의의 SQL을 실행하기 위해 객체 이름의 줄 브레이크를 이용할 수 있습니다.. 토토 사이트 순위 : CVE-2012-0868 : PG_DUMP 파일을 다시로드 할 때 임의의 SQL을 실행하기 위해 객체 이름의 라인 브레이크를 이용할 수 있습니다. |
|
토토 사이트 순위 : CVE-2012-0867 : |
9.1, 9.0, 8.4 | 9.1.3, 9.0.7, 8.4.11 | Core Server 레거시 : A |
SSL 인증서 이름 검사는 32 자로 잘려서 제 3 자 인증 당국을 사용할 때 일부 상황에서 연결 스푸핑을 허용합니다. 롤 토토 사이트 순위 : CVE-2012-0867 : SSL 인증서 이름 검사는 32 자로 잘려서 제 3 자 인증 기관을 사용할 때 일부 상황에서 연결 스푸핑을 허용합니다.. |
|
스포츠 토토 사이트 : CVE-2012-0866 |
9.1, 9.0, 8.4, 8.3 | 9.1.3, 9.0.7, 8.4.11, 8.3.18 | Core Server 레거시 : C |
트리거에서 호출 된 함수에 대한 권한이 제대로 확인되지 않았습니다. 스포츠 토토 사이트 : CVE-2012-0866 : 트리거에서 호출 된 함수에 대한 권한이 제대로 확인되지 않습니다. |
|
스포츠 토토 베트맨 : CVE-2010-4015 |
9.0, 8.4, 8.3, 8.2 | 9.0.3, 8.4.7, 8.3.14, 8.2.20 | Contrib Module 레거시 : C |
인증 된 데이터베이스 사용자는 특정 매개 변수가있는 intarray 옵션 모듈에서 함수를 호출하여 버퍼 오버런을 유발할 수 있습니다.. 스포츠 토토 베트맨 : CVE-2010-4015 : 인증 된 데이터베이스 사용자는 특정 매개 변수가있는 IntArray 옵션 모듈에서 함수를 호출하여 버퍼 오버런을 유발할 수 있습니다. |
|
CVE-2010-3433 |
9.0, 8.4, 8.3, 8.2, 8.1, 8.0, 7.4 | 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26, 7.4.30 | Core Server 레거시 : C |
인증 된 데이터베이스 사용자는 일부 외부 절차 언어로 모듈과 묶은 변수를 조작하여 강화 된 권한으로 코드를 실행할 수 있습니다. 자세한 내용 |
|
스포츠 토토 사이트 : CVE-2010-1975 : |
8.4, 8.3, 8.2, 8.1, 8.0, 7.4 | 8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25, 7.4.29 | Core Server 레거시 : C |
비전지가없는 데이터베이스 사용자는 슈퍼 버스터 전용을 제거 할 수 있습니다
슈퍼 사용자가 Alter 사용자로 계정에 적용된 설정이므로
시행 해야하는 설정 우회. 스포츠 롤 토토 사이트 : CVE-2010-1975 : 비전지가없는 데이터베이스 사용자는 슈퍼업자 전용을 제거 할 수 있습니다 |
|
토토 커뮤니티 : CVE-20110-1170 : |
8.4, 8.3, 8.2, 8.1, 8.0, 7.4 | 8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25, 7.4.29 | Core Server 레거시 : C |
PLTCL_MODULES 테이블의 불안한 권한은 인증 된 사용자가 임의의 TCL 코드를 실행할 수 있습니다.
PL/TCL이 설치되어 활성화 된 경우 데이터베이스 서버 롤 토토 커뮤니티 : CVE-20110-1170 : PLTCL_MODULES 테이블의 불안한 권한을 사용하면 인증 된 사용자가 임의의 TCL 코드를 실행할 수 있습니다. |
|
젠 토토 : CVE-2010-1169 : |
8.4, 8.3, 8.2, 8.1, 8.0, 7.4 | 8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25, 7.4.29 | Core Server 레거시 : C |
safe.pm 및 pl/perl의 취약점은 인증 된 사용자가 데이터베이스에서 임의의 PERL 코드를 실행할 수 있습니다.
PL/PERL이 설치되어 활성화 된 경우 서버 젠 롤 토토 : CVE-2010-1169 : Safe.pm 및 PL/Perl의 취약성으로 인해 인증 된 사용자가 데이터베이스에서 임의의 Perl 코드를 실행할 수 있습니다. |
|
PostgreSQL : 토토 사이트 추천2009-4136 : 인덱스 함수에서 세션 상태를 변경하는 권한 에스컬레이션. 이것은 취약성 토토 사이트 추천2009-3230 및 토토 사이트 추천2007-6600 (아래)과 관련된 코너 케이스를 닫습니다. |
8.4, 8.3, 8.2, 8.1, 8.0, 7.4 | 8.4.2, 8.3.9, 8.2.15, 8.1.19, 8.0.23, 7.4.27 | Core Server 레거시 : C |
인덱스 함수에서 세션 상태를 변경하는 권한 에스컬레이션. 이것은 취약성 CVE-2009-3230 및 CVE-2007-6600 (아래)과 관련된 코너 케이스를 닫습니다. PostgreSQL : 토토 사이트 추천2009-4136 : 인덱스 함수에서 세션 상태를 변경하는 권한 에스컬레이션. 이것은 취약성 토토 사이트 추천2009-3230 및 토토 사이트 추천2007-6600 (아래)과 관련된 코너 케이스를 |
|
PostgreSQL : CVE-2009-4034 |
8.4, 8.3, 8.2, 8.1, 8.0, 7.4 | 8.4.2, 8.3.9, 8.2.15, 8.1.19, 8.0.23, 7.4.27 | Core Server 레거시 : A |
SSL 인증서의 NULL 바이트를 사용하여 클라이언트 또는 서버 인증을 위조 할 수 있습니다. 이는 SSL을 활성화 한 사용자, 인증서 이름 유효성 검증 또는 클라이언트 인증서 인증을 수행하고 인증 기관 (CA)이 잘못된 인증서를 발행하도록 속이는 사용자에게만 영향을 미칩니다. 이 문제에 취약하지 않도록 항상 유효한 인증서를 발행하도록 신뢰할 수있는 CA를 사용하는 것이 좋습니다. PostgreSQL : CVE-2009-4034 : SSL 인증서의 NULL 바이트를 사용하여 클라이언트 또는 서버 인증을 위조 할 수 있습니다. 이는 SSL을 활성화 한 사용자, 인증서 이름 유효성 검증 또는 클라이언트 인증서 인증을 수행하고 인증 기관 (CA)이 잘못된 인증서를 발행하도록 속이는 사용자에게만 영향을 미칩니다. 이 문제에 배트맨 토토하지 않도록 항상 유효한 인증서를 발행하도록 신뢰할 수있는 CA를 사용하는 것이 |
|
CVE-2009-3230 |
8.4, 8.3, 8.2, 8.1, 8.0, 7.4 | 8.4.1, 8.3.8, 8.2.14, 8.1.18, 8.0.22, 7.4.26 | Core Server 레거시 : C |
이슈에 대한 수정 CVE-2007-6600 (아래)은 재설정 세션 허가 오용에 대한 보호를 포함하지 못했습니다. 자세한 내용 |
|
CVE-2009-3229 |
8.4, 8.3, 8.2 | 8.4.1, 8.3.8, 8.2.14 | Core Server 레거시 : D |
인증 된 비 슈퍼 라이저는 라이브러리가 $ libdir/플러그인의 라이브러리를 다시로드하여 백엔드 서버를 종료 할 수 있습니다. 라이브러리가있는 경우. 자세한 내용 |
지원되지 않는 버전의 보관 된 보안 패치를 볼 수도 있습니다. 더 이상은 아닙니다
이 버전이 수명이 끝나기 때문에 보안 패치를 사용할 수 있습니다.
배트맨 롤 토토 : 보안 정보 -
스포츠 토토 결과 : 보안 정보 -
토토 캔 : 보안 정보 -
사설 토토 사이트 : 보안 정보 -
토토 커뮤니티 : 보안 정보 -
토토 사이트 : 보안 정보 -
스포츠 롤 토토 : 보안 정보 -
토토 결과 : 보안 정보 -
토토 사이트 추천 : 보안 정보 -
토토 커뮤니티 : 보안 정보 -
롤 롤 토토 : 보안 정보 -
스포츠 롤 토토 : 보안 정보 -
스포츠 토토 사이트 : 보안 정보 -
스포츠 토토 베트맨 : 보안 정보 -
토토 핫 : 보안 정보 -
스포츠 토토 결과 : 보안 정보 -
사설 롤 토토 : 보안 정보
다음 구성 요소 참조는 위 표에서 사용됩니다.
| 구성 요소 | 설명 |
|---|---|
| Core Server | 이 취약점은 핵심 서버 제품에 존재합니다. |
| 클라이언트 | 이 취약점은 클라이언트 라이브러리 또는 클라이언트 응용 프로그램에만 존재합니다. |
| Contrib Module | 이 취약점은 Contrib 모듈에 존재합니다. 소스에서 롤 토토을 설치하면 Contrib 모듈이 기본적으로 설치되지 않습니다. 이진 패키지에 의해 설치 될 수 있습니다. |
| Client Contrib Module | 이 취약점은 클라이언트에만 사용되는 기여 모듈에 존재합니다. |
| 포장 | 이 취약점은 롤 토토 이진 패키징에 존재합니다 (예 : 설치 프로그램 또는 RPM. |
Postgresql 보안 팀은 기고자 그룹으로 구성됩니다. 데이터베이스의 다양한 측면에서 경험이있는 롤 토토 프로젝트 및 정보 보안.
보안 팀에서 회원 목록을 찾을 수 있습니다.