阿里云漏洞库

漏洞描述

PostgreSQL是一款对象关系型数据库管理系统，支持扩展的SQL标准子集。PostgreSQL存在一个安全缺陷。数据库管理员如果允许在数据上安装可信过程化语言，及这些过程化语言函数属主允许执行ALTER FUNCTION命令。那么在特定的数据库上启用过程化语言插件，通过验证的数据库管理员可把SECURITY DEFINER或SET属性添加到处理器函数触发拒绝服务攻击，使PostgreSQL服务器崩溃。

解决建议

PostgreSQL 9.1.4、9.0.8、8.4.12和8.3.19已经修复此漏洞，建议用户下载使用：http://www.postgresql.org/

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082258.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082292.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082294.html
http://lists.opensuse.org/opensuse-updates/2012-09/msg00102.html
http://lists.opensuse.org/opensuse-updates/2012-10/msg00013.html
http://lists.opensuse.org/opensuse-updates/2012-10/msg00024.html
http://rhn.redhat.com/errata/RHSA-2012-1037.html
http://secunia.com/advisories/50718
http://www.debian.org/security/2012/dsa-2491
http://www.mandriva.com/security/advisories?name=MDVSA-2012:092
http://www.postgresql.org/about/news/1398/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	postgresql	postgresql	8.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.1	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.10	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.11	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.12	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.13	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.14	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.15	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.16	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.17	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.18	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.2	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.5	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.6	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.7	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.8	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.9	-
	运行在以下环境
	应用	postgresql	postgresql	8.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.1	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.10	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.11	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.2	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.5	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.6	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.7	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.8	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.9	-
	运行在以下环境
应用	postgresql	postgresql	9.0	-
运行在以下环境
应用	postgresql	postgresql	9.0.1	-
运行在以下环境
应用	postgresql	postgresql	9.0.2	-
运行在以下环境
应用	postgresql	postgresql	9.0.3	-
运行在以下环境
应用	postgresql	postgresql	9.0.4	-
运行在以下环境
应用	postgresql	postgresql	9.0.5	-
运行在以下环境
应用	postgresql	postgresql	9.0.6	-
运行在以下环境
应用	postgresql	postgresql	9.0.7	-
运行在以下环境
应用	postgresql	postgresql	9.1	-
运行在以下环境
应用	postgresql	postgresql	9.1.1	-
运行在以下环境
应用	postgresql	postgresql	9.1.2	-
运行在以下环境
应用	postgresql	postgresql	9.1.3	-
运行在以下环境
系统	amazon_AMI	postgresql8	*		Up to (excluding) 8.4.12-1.35.amzn1
运行在以下环境
系统	centos_5	postgresql84-libs	*		Up to (excluding) 8.4.12-1.el5_8
运行在以下环境
系统	centos_6	postgresql-server	*		Up to (excluding) 8.4.12-1.el6_2
运行在以下环境
系统	oracle_5	postgresql84-docs	*		Up to (excluding) 8.4.12-1.el5_8
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 8.4.12-1.el6_2
运行在以下环境
系统	redhat_6	postgresql84	*		Up to (excluding) 0:8.4.12-1.el5_8
运行在以下环境
系统	suse_12	libecpg6	*		Up to (excluding) 9.3.5-2
运行在以下环境
系统	ubuntu_12.04.5_lts	postgresql-8.4	*		Up to (excluding) 8.4.17-0ubuntu12.04

攻击路径

远程
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-399	资源管理错误

低危 PostgreSQL up to 8.2 Crash 拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况