다음을 사용하여삽입...충돌 시...업데이트 수행명령을 특수 제작된 테이블에 적용하면 공격자는 서버 메모리의 임의 바이트를 읽을 수 있습니다. 기본 구성에서는 인증된 모든 데이터베이스 사용자가 필수 개체를 생성하고 이 공격을 마음대로 완료할 수 있습니다. 가 부족한 사용자만들기그리고임시모든 데이터베이스에 대한 권한 및생성모든 스키마에 대한 권한은 이 공격을 마음대로 사용할 수 없습니다.
와이즈 토토 프로젝트는 이 문제를 보고한 Andres Freund에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 사항 게시됨 |
|---|---|---|
| 13 | 13.3 | 배트맨 토토 : 배트맨 |
| 12 | 12.7 | 배트맨 토토 : 배트맨 |
| 11 | 11.12 | 배트맨 토토 : 배트맨 |
| 10 | 10.17 | 배트맨 토토 : 배트맨 |
| 9.6 | 9.6.22 | 배트맨 토토 : 배트맨 |
다음에 대한 추가 정보를 원하시면PostgreSQL :, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 6.5 |
|---|---|
| 구성요소 | 코어 서버 |
| 벡터 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PostgreSQL의 새로운 보안 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@와이즈 토토.org.
비보안 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.