적어도 하나의 스키마에서 비 임시 객체를 생성 할 권한이있는 공격자는 슈퍼업자의 ID에서 임의의 SQL 기능을 실행할 수 있습니다..
PostgreSQL을 신속하게 업데이트하는 동안 대부분의 사용자에게 가장 적합한 치료법이지만, 사용자는 Autovacuum을 비활성화하고 수동으로 실행되지 않음으로써 취약성을 중심으로 작동 할 수없는 사용자는 할 수 없습니다.분석, 클러스터, Reindex, 색인 생성, 진공 Full, Refresh Resised View또는 출력에서의 복원pg_dump명령. 이 해결 방법에 따라 성능이 빠르게 저하 될 수 있습니다.
진공없이full옵션은 안전하며 신뢰할 수있는 사용자가 대상 객체를 소유 할 때 모든 명령이 적합합니다.
PostgreSQL 프로젝트에 감사합니다 Etienne Stalmans이 문제를보고했습니다.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 13 | 13.1 | 토토 커뮤니티 : 토토 커뮤니티 |
| 12 | 12.5 | 토토 커뮤니티 : 토토 커뮤니티 |
| 11 | 11.10 | 토토 커뮤니티 : 토토 커뮤니티 |
| 10 | 10.15 | 토토 커뮤니티 : 토토 커뮤니티 |
| 9.6 | 9.6.20 | 토토 커뮤니티 : 토토 커뮤니티 |
| 9.5 | 9.5.24 | 토토 커뮤니티 : 토토 커뮤니티 |
자세한 내용은PostgreSQL : 사설, 방문하십시오PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 8.8 |
|---|---|
| 구성 요소 | Core Server |
| Vector | av : n/ac : l/pr : l/ui : n/s : u/c : h/i : h/a : h |
PostgreSQL에서 새로운 토토 핫 취약점을보고하려면 제발 에 이메일 보내기security@postgresql.org.
비 토토 핫 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패page.