적어도 하나의 스키마에 임시가 아닌 개체를 생성할 권한이 있는 공격자는 슈퍼유저의 ID로 임의의 SQL 함수를 실행할 수 있습니다.
PostgreSQL을 즉시 업데이트하는 것이 대부분의 사용자에게 가장 좋은 해결 방법이지만 그렇게 할 수 없는 사용자는 autovacuum을 비활성화하고 수동으로 실행하지 않음으로써 취약점을 해결할 수 있습니다.분석, 클러스터, REINDEX, 색인 생성, 진공이 가득 참, 구체화된 보기 새로고침또는의 출력에서 복원pg_dump명령. 이 해결 방법에서는 성능이 빠르게 저하될 수 있습니다.
진공없이전체옵션은 안전하며, 신뢰할 수 있는 사용자가 대상 개체를 소유한 경우 모든 명령은 괜찮습니다.
PostgreSQL 프로젝트는 이 문제를 보고한 Etienne Stalmans에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 사항 게시됨 |
|---|---|---|
| 13 | 13.1 | 토토 커뮤니티 : 토토 커뮤니티 |
| 12 | 12.5 | 토토 커뮤니티 : 토토 커뮤니티 13 |
| 11 | 11.10 | 토토 커뮤니티 : 토토 커뮤니티 |
| 10 | 10.15 | 토토 커뮤니티 : 토토 커뮤니티 13 |
| 9.6 | 9.6.20 | 토토 커뮤니티 : 토토 커뮤니티 13 |
| 9.5 | 9.5.24 | 토토 커뮤니티 : 토토 커뮤니티 |
다음에 대한 추가 정보를 원하시면PostgreSQL : 사설 토토, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 8.8 |
|---|---|
| 구성요소 | 코어 서버 |
| 벡터 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PostgreSQL의 새로운 토토 핫 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@postgresql.org.
비토토 핫 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.