Newlines의 부적절한 중화pg_dump무지개 토토에서 사용자를 허용합니다
복원 시간 실행을 위해 임의의 코드를 주입하기위한 원래 서버
PSQL을 통해 덤프를 복원하기 위해 PSQL을 실행하는 클라이언트 운영 체제 계정
목적으로 만들어진 객체 이름 내부의 메타 명령. 같은 공격이 가능합니다
Restore Target Server의 수퍼 유저로서 SQL 주입을 달성하십시오.pg_dumpall,
PG_RESTORE 및 PG_UPGRADE도 영향을받습니다. 무지개 토토 17.6 이전 버전,
16.10, 15.14, 14.19 및 13.22가 영향을받습니다. 11.20 이전의 버전
영향을받지 않습니다. CVE-2012-0868은이 클래스의 문제를 해결했지만 버전 11.20
다시 도입했습니다.
무지개 토토 프로젝트이 문제를보고 한 Noah Misch에게 감사합니다.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 17 | 17.6 | 토토 결과 : 토토 결과 |
| 16 | 16.10 | 토토 결과 : 토토 결과 |
| 15 | 15.14 | 토토 결과 : 토토 결과 |
| 14 | 14.19 | 토토 결과 : 토토 결과 |
| 13 | 13.22 | 토토 결과 : 토토 결과 |
자세한 내용은PostgreSQL : 사설 토토 사이트 관리 정책, 방문하십시오PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 8.8 |
|---|---|
| 구성 요소 | 클라이언트 |
| Vector | av : n/ac : l/pr : n/ui : r/s : u/c : h/i : h/a : h |
PostgreSQL에서 새로운 보안 취약점을보고하려면 제발 에 이메일 보내기security@무지개 토토.org.
비 보안 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.