수정되고 인증되지 않은 서버는 Kerberos 전송 암호화를 설정하는 동안 종료되지 않은 문자열을 보낼 수 있습니다. libpq 클라이언트 애플리케이션에 Kerberos 자격 증명 캐시가 있고 옵션을 명시적으로 비활성화하지 않는 경우gssencmode, 서버는 libpq가 해당 수신 버퍼의 초기화되지 않은 바이트를 포함하는 오류 메시지를 과도하게 읽고 보고하도록 할 수 있습니다. libpq의 호출자가 어떤 식으로든 공격자가 해당 메시지에 액세스할 수 있도록 하면 초과 읽은 바이트가 공개됩니다. 우리는 충돌을 일으키거나 공개된 바이트에 주목할만한 기밀 정보가 존재하도록 하는 공격의 가능성을 확인하거나 배제하지 않았습니다.
범퍼카 토토 프로젝트는 이 문제를 보고한 Jacob Champion에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 사항 게시됨 |
|---|---|---|
| 15 | 15.2 | 사설 토토 사이트 : 사설 |
| 14 | 14.7 | 사설 토토 사이트 : 사설 토토 |
| 13 | 13.10 | 사설 토토 사이트 : 사설 토토 |
| 12 | 12.14 | 사설 토토 사이트 : 사설 토토 |
다음에 대한 추가 정보를 원하시면PostgreSQL :, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 3.7 |
|---|---|
| 구성요소 | 클라이언트 |
| 벡터 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PostgreSQL의 새로운 보안 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@범퍼카 토토.org.
비보안 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.