무지개 토토의 잘못된 권한 할당은 덜 소외된 것을 허용합니다
응용 프로그램 사용자는 의도 한 것과 다른 행을 보거나 변경합니다. 공격
응용 프로그램에 사용해야역할 설정,
세션 설정 설정,
또는 동등한 기능. 애플리케이션 쿼리가 사용될 때 문제가 발생합니다
공격자의 매개 변수 또는 쿼리 결과를 공격자에게 전달합니다. 만약 그렇다면
쿼리 반응current_setting ( 'role')또는 현재 사용자 ID는 수정 될 수 있습니다
또는 세션이 사용되지 않은 것처럼 데이터를 반환역할 설정또는세션 승인 설정. 공격자는 어떤 잘못된 사용자를 제어하지 않습니다
ID가 적용됩니다. 덜 소집되지 않은 소스의 쿼리 텍스트는 여기서 문제가되지 않습니다.
왜냐하면역할 설정and세션 승인 설정는 샌드 박스가 아닙니다
쿼리. 무지개 토토 이전 버전 17.1, 16.5, 15.9, 14.14, 13.17 및 12.21
영향을받습니다.
무지개 토토 프로젝트이 문제를보고 한 Tom Lane에게 감사드립니다.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 17 | 17.1 | 토토 캔 : 토토 캔 17 |
| 16 | 16.5 | 토토 캔 : 토토 캔 17 |
| 15 | 15.9 | 토토 캔 : 토토 캔 17 |
| 14 | 14.14 | 토토 캔 : 토토 캔 17 |
| 13 | 13.17 | 토토 캔 : 토토 캔 17 |
| 12 | 12.21 | 토토 캔 : 토토 캔 17 |
자세한 내용은PostgreSQL : 사설 토토 사이트 관리 정책, 방문하십시오PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 4.2 |
|---|---|
| 구성 요소 | Core Server |
| Vector | av : n/ac : h/pr : l/ui : n/s : u/c : l/i : l/a : n |
PostgreSQL에서 새로운 보안 취약점을보고하려면 제발 에 이메일 보내기security@무지개 토토.org.
비 보안 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.