적절한 주어진무지개 토토 정의기함수, 공격자는 기능 소유자의 ID에서 임의의 SQL을 실행할 수 있습니다. 공격이 필요합니다execute함수에 대한 허가 자체에 부정확 한 인수 유형 일치하는 함수 호출이 포함되어야합니다. 예를 들어,길이 ( 'foo':: varchar)and길이 ( 'foo')길이 ( 'foo':: text)정확합니다.
이 취약점을 악용하는 일환으로 공격자는 사용합니다.도메인 생성a에서 유형을 만들려면PG_TEMP스키마. 공격 패턴과 수정은와 유사합니다.CVE-2007-2138.
쓰기무지개 토토 정의기기능은 문서에 언급 된 고려 사항에 따라 계속 필요합니다.
/docs/current/sql-createfunction.html#sql-createfunction-security
PostgreSQL 프로젝트이 문제를보고 한 Tom Lane에게 감사드립니다.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 11 | 11.5 | 토토 사이트 순위 : 토토 |
| 10 | 10.10 | 토토 사이트 순위 : 토토 |
| 9.6 | 9.6.15 | 토토 사이트 순위 : 토토 |
| 9.5 | 9.5.19 | 토토 사이트 순위 : 토토 |
| 9.4 | 9.4.24 | 토토 사이트 순위 : 토토 |
자세한 내용은PostgreSQL : 사설, 방문하십시오PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 7.5 |
|---|---|
| 구성 요소 | Core Server |
| vector | av : n/ac : h/pr : l/ui : n/s : u/c : h/i : h/a : h |
PostgreSQL에서 새로운 무지개 토토 취약점을보고하려면 제발 에 이메일 보내기security@postgresql.org.
비 무지개 토토 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.