개행 문자의 부적절한 중화pg_dump무지개 토토에서 사용자는 다음을 허용합니다.
원본 서버는 복원 시간 실행을 위해 임의의 코드를 삽입합니다.
psql을 통해 덤프를 복원하기 위해 psql을 실행하는 클라이언트 운영 체제 계정
목적에 맞게 만들어진 개체 이름 내부의 메타 명령. 같은 공격도 가능
복원 대상 서버의 슈퍼유저로 SQL 주입을 수행합니다.pg_dumpall,
pg_restore 및 pg_upgrade도 영향을 받습니다. 무지개 토토 17.6 이전 버전,
16.10, 15.14, 14.19, 13.22가 영향을 받습니다. 11.20 이전 버전은
영향을 받지 않습니다. CVE-2012-0868은 이 종류의 문제를 해결했지만 버전 11.20
다시 소개했습니다.
무지개 토토 프로젝트는 이 문제를 보고한 Noah Misch에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 게시됨 |
|---|---|---|
| 17 | 17.6 | 토토 결과 : 토토 결과 17.6 |
| 16 | 16.10 | 토토 결과 : 토토 결과 17.6 |
| 15 | 15.14 | 토토 결과 : 토토 결과 17.6 |
| 14 | 14.19 | 토토 결과 : 토토 결과 17.6 |
| 13 | 13.22 | 토토 결과 : 토토 결과 17.6 |
다음에 대한 추가 정보를 원하시면PostgreSQL :, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 8.8 |
|---|---|
| 구성요소 | 클라이언트 |
| 벡터 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
PostgreSQL의 새로운 보안 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@무지개 토토.org.
비보안 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.