수정되지 않은 무음의 서버는 Kerberos Transport 암호화를 설정하는 동안 문자가없는 문자열을 보낼 수 있습니다. LIBPQ 클라이언트 응용 프로그램에 Kerberos 자격 증명 캐시가 있고 명시 적으로 옵션을 비활성화하지 않는 경우gssencmode, 서버는 LIBPQ가 수신 버퍼에서 및 따로 시작되지 않은 바이트를 포함하는 오류 메시지를 과도하게 읽고보고 할 수 있습니다. LIBPQ의 발신자가 어떻게 든 그 메시지를 공격자에게 액세스 할 수있게한다면, 이는 과도한 읽기 바이트를 공개합니다. 우리는 충돌을 주선하거나 공개 된 바이트에 주목할만한 기밀 정보가 존재하는 공격의 생존 가능성을 확인하거나 배제하지 않았습니다.
범퍼카 토토 프로젝트이 문제를보고 한 Jacob Champion에게 감사합니다.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 15 | 15.2 | 사설 토토 사이트 : 사설 |
| 14 | 14.7 | 사설 토토 사이트 : 사설 |
| 13 | 13.10 | 사설 토토 사이트 : 사설 |
| 12 | 12.14 | 사설 토토 사이트 : 사설 |
자세한 내용은PostgreSQL : 사설 토토 사이트 관리, 방문하십시오PostgreSQL : 사설 토토 사이트 관리.
| 전체 점수 | 3.7 |
|---|---|
| 구성 요소 | 클라이언트 |
| vector | av : n/ac : h/pr : n/ui : n/s : u/c : l/i : n/a : n |
범퍼카 토토에서 새로운 보안 취약점을보고하려면 제발 에 이메일 보내기security@범퍼카 토토.org.
비 보안 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.