阿里云漏洞库

漏洞描述

PostgreSQL是一款开源的数据库系统。PostgreSQL存在漏洞，攻击者可以利用对象名称中的换行符在装载pg_dump的文件时执行代码。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://www.postgresql.org/about/news/1377/

参考链接
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
http://lists.opensuse.org/opensuse-updates/2012-09/msg00060.html
http://rhn.redhat.com/errata/RHSA-2012-0677.html
http://rhn.redhat.com/errata/RHSA-2012-0678.html
http://secunia.com/advisories/49272
http://secunia.com/advisories/49273
http://www.debian.org/security/2012/dsa-2418
http://www.mandriva.com/security/advisories?name=MDVSA-2012:026
http://www.mandriva.com/security/advisories?name=MDVSA-2012:027
http://www.postgresql.org/about/news/1377/
http://www.postgresql.org/docs/8.3/static/release-8-3-18.html
http://www.postgresql.org/docs/8.4/static/release-8-4-11.html
http://www.postgresql.org/docs/9.0/static/release-9-0-7.html
http://www.postgresql.org/docs/9.1/static/release-9-1-3.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	postgresql	postgresql	8.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.1	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.10	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.11	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.12	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.13	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.14	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.15	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.16	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.17	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.2	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.5	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.6	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.7	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.8	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.9	-
	运行在以下环境
	应用	postgresql	postgresql	8.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.1	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.10	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.2	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.5	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.6	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.7	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.8	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.9	-
	运行在以下环境
	应用	postgresql	postgresql	9.0	-
	运行在以下环境
	应用	postgresql	postgresql	9.0.1	-
	运行在以下环境
应用	postgresql	postgresql	9.0.2	-
运行在以下环境
应用	postgresql	postgresql	9.0.3	-
运行在以下环境
应用	postgresql	postgresql	9.0.4	-
运行在以下环境
应用	postgresql	postgresql	9.0.5	-
运行在以下环境
应用	postgresql	postgresql	9.0.6	-
运行在以下环境
应用	postgresql	postgresql	9.1	-
运行在以下环境
应用	postgresql	postgresql	9.1.1	-
运行在以下环境
应用	postgresql	postgresql	9.1.2	-
运行在以下环境
系统	amazon_AMI	postgresql8	*		Up to (excluding) 8.4.11-1.34.amzn1
运行在以下环境
系统	centos_5	postgresql-server	*		Up to (excluding) 8.4.11-1.el5_8
运行在以下环境
系统	centos_6	postgresql-server	*		Up to (excluding) 8.4.11-1.el6_2
运行在以下环境
系统	oracle_5	oraclelinux-release	*		Up to (excluding) 8.4.12-1.el5_8
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 8.4.11-1.el6_2
运行在以下环境
系统	redhat_5	postgresql	*		Up to (excluding) 0:8.1.23-4.el5_8
运行在以下环境
系统	redhat_6	postgresql	*		Up to (excluding) 0:8.4.11-1.el6_2
运行在以下环境
系统	suse_12	libecpg6	*		Up to (excluding) 9.3.5-2
运行在以下环境
系统	ubuntu_12.04.5_lts	postgresql-8.4	*		Up to (excluding) 8.4.11-1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

中危 PostgreSQL up to 9.1.2 pg_dump SQL注入

漏洞描述

解决建议

参考链接

受影响软件情况