데이터베이스 서버 또는 LIBPQ 클라이언트 라이브러리가 SSL을 초기화하는 경우libeay32.dll하드 코딩 디렉토리에서 구성을 읽으려고 시도합니다. 일반적으로 디렉토리는 존재하지 않지만 모든 로컬 사용자는이를 생성하고 구성을 주입 할 수 있습니다. 이 구성은 토토 핫 서버 또는 클라이언트를 실행하는 사용자로서 임의의 코드를로드하고 실행하도록 OpenSSL을 지시 할 수 있습니다.
대부분의 토토 핫 클라이언트 도구 및 라이브러리 사용libpq이 취약점은 비슷합니다.CVE-2019-5443그러나 독립적으로 시작되었습니다. 환경 변수를 "nul :/openssl.cnf"로 설정하거나 파일로 존재할 수없는 기타 이름을 설정하여 취약점을 둘러 볼 수 있습니다..
토토 핫 프로젝트 감사합니다.이 문제를보고 한 Curl Security 팀의 Daniel Gustafsson.
| 영향을받는 버전 | 고정 | 수정 |
|---|---|---|
| 11 | 11.5 | 토토 사이트 순위 : 토토 |
| 10 | 10.10 | 토토 사이트 순위 : 토토 |
| 9.6 | 9.6.15 | 토토 사이트 순위 : 토토 |
| 9.5 | 9.5.19 | 토토 사이트 순위 : 토토 |
| 9.4 | 9.4.24 | 토토 사이트 순위 : 토토 |
자세한 내용은PostgreSQL : 사설 토토 사이트 관리 정책, 방문하십시오PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 7.8 |
|---|---|
| 구성 요소 | 포장 |
| Vector | av : l/ac : l/pr : l/ui : n/s : u/c : h/i : h/a : h |
PostgreSQL에서 새로운 보안 취약점을보고하려면 제발 에 이메일 보내기security@토토 핫.org.
비 보안 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.