인증 된 사용자는 자신의 비밀번호를 목적으로 만들어진 값으로 변경하여 스택 기반 버퍼 오버플로를 만들 수 있습니다. 젠 토토 서버를 충돌시키는 기능 외에도 젠 토토 운영 체제 계정으로 임의의 코드를 실행하도록 더욱 악용 될 수 있습니다..
또한 Rogue 서버는 SCRAM 인증 프로세스 중에 특별히 제작 된 메시지를 보내고 LIBPQ 지원 클라이언트가 클라이언트의 운영 체제 계정으로 충돌 또는 임의 코드를 실행하게 할 수 있습니다.
이 문제는 젠 토토 서버와 LIBPQ 설치를 업그레이드하고 다시 시작하여 고정되었습니다.
젠 토토 프로젝트 감사합니다.이 문제를보고 한 Alexander Lakhin.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 11 | 11.4 | PostgreSQL : Postgresql |
| 10 | 10.9 | PostgreSQL : Postgresql |
자세한 내용은PostgreSQL : 사설 토토 사이트 관리 정책, 방문하십시오PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 7.5 |
|---|---|
| 구성 요소 | Core Server |
| Vector | av : n/ac : h/pr : l/ui : n/s : u/c : h/i : h/a : h |
PostgreSQL에서 새로운 보안 취약점을보고하려면 제발 에 이메일 보내기security@젠 토토.org.
비 보안 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.