적합한 주어진무지개 토토 정의자함수, 공격자는 함수 소유자의 ID로 임의의 SQL을 실행할 수 있습니다. 공격에는 다음이 필요합니다.실행4029_4152길이('foo'::varchar)그리고길이('foo')정확하지 않지만길이('foo'::텍스트)정확합니다.
이 취약점을 악용하는 일환으로 공격자는 다음을 사용합니다.도메인 만들기유형을 생성하려면pg_temp스키마. 공격 패턴과 수정 사항은 다음과 유사합니다.CVE-2007-2138.
쓰기무지개 토토 정의자함수를 사용하려면 문서에 명시된 고려 사항을 계속 따라야 합니다.
/docs/current/sql-createfunction.html#SQL-CREATEFUNCTION-SECURITY
PostgreSQL 프로젝트는 이 문제를 보고한 Tom Lane에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 사항 게시됨 |
|---|---|---|
| 11 | 11.5 | 토토 사이트 순위 : 토토 사이트 |
| 10 | 10.10 | 토토 사이트 순위 : 토토 사이트 |
| 9.6 | 9.6.15 | 토토 사이트 순위 : 토토 사이트 |
| 9.5 | 9.5.19 | 토토 사이트 순위 : 토토 사이트 |
| 9.4 | 9.4.24 | 토토 사이트 순위 : 토토 사이트 |
다음에 대한 추가 정보를 원하시면PostgreSQL : 사설 토토, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 7.5 |
|---|---|
| 구성요소 | 코어 서버 |
| 벡터 | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
PostgreSQL의 새로운 무지개 토토 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@postgresql.org.
비무지개 토토 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.