인증된 사용자는 자신의 비밀번호를 목적에 맞게 제작된 값으로 변경하여 스택 기반 버퍼 오버플로를 생성할 수 있습니다. 젠 토토 서버를 충돌시키는 기능 외에도 젠 토토 운영 체제 계정으로 임의의 코드를 실행하는 데 악용될 수 있습니다.
또한, 불량 서버는 SCRAM 인증 프로세스 중에 특별히 제작된 메시지를 보낼 수 있으며 libpq 지원 클라이언트가 충돌하거나 클라이언트의 운영 체제 계정으로 임의 코드를 실행하도록 할 수 있습니다.
이 문제는 젠 토토 서버와 libpq 설치를 업그레이드하고 다시 시작하면 해결됩니다.
젠 토토 프로젝트는 이 문제를 보고해 주신 Alexander Lakhin에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 사항 게시됨 |
|---|---|---|
| 11 | 11.4 | PostgreSQL : |
| 10 | 10.9 | PostgreSQL : |
에 대한 추가 정보는PostgreSQL : 사설 토토 사이트 관리 정책, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 7.5 |
|---|---|
| 구성요소 | 코어 서버 |
| 벡터 | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
PostgreSQL의 새로운 보안 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@젠 토토.org.
비보안 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.