阿里云漏洞库

漏洞描述

PostgreSQL是一款对象关系型数据库管理系统，支持扩展的SQL标准子集。PostgreSQL解析XSLT样式表时"xslt_process()"函数存在错误。允许攻击者利用漏洞创建或覆盖任意文件。

解决建议

PostgreSQL 9.1.5, 9.0.9, 8.4.13或8.3.20已经修复此漏洞，建议用户下载使用：http://www.postgresql.org

参考链接
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html
http://lists.opensuse.org/opensuse-updates/2012-09/msg00102.html
http://lists.opensuse.org/opensuse-updates/2012-10/msg00013.html
http://lists.opensuse.org/opensuse-updates/2012-10/msg00024.html
http://rhn.redhat.com/errata/RHSA-2012-1263.html
http://rhn.redhat.com/errata/RHSA-2012-1264.html
http://secunia.com/advisories/50635
http://secunia.com/advisories/50636
http://secunia.com/advisories/50718
http://secunia.com/advisories/50859
http://secunia.com/advisories/50946
http://www.debian.org/security/2012/dsa-2534
http://www.mandriva.com/security/advisories?name=MDVSA-2012:139
http://www.postgresql.org/about/news/1407/
http://www.postgresql.org/docs/8.3/static/release-8-3-20.html
http://www.postgresql.org/docs/8.4/static/release-8-4-13.html
http://www.postgresql.org/docs/9.0/static/release-9-0-9.html
http://www.postgresql.org/docs/9.1/static/release-9-1-5.html
http://www.postgresql.org/support/security/
http://www.securityfocus.com/bid/55072
http://www.ubuntu.com/usn/USN-1542-1
https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_postgresql2
https://bugzilla.redhat.com/show_bug.cgi?id=849172

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	postgresql	postgresql	8.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.1	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.10	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.11	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.12	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.13	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.14	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.15	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.16	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.17	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.18	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.19	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.2	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.5	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.6	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.7	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.8	-
	运行在以下环境
	应用	postgresql	postgresql	8.3.9	-
	运行在以下环境
	应用	postgresql	postgresql	8.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.1	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.10	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.11	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.12	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.2	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.3	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.4	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.5	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.6	-
	运行在以下环境
	应用	postgresql	postgresql	8.4.7	-
	运行在以下环境
应用	postgresql	postgresql	8.4.8	-
运行在以下环境
应用	postgresql	postgresql	8.4.9	-
运行在以下环境
应用	postgresql	postgresql	9.0	-
运行在以下环境
应用	postgresql	postgresql	9.0.1	-
运行在以下环境
应用	postgresql	postgresql	9.0.2	-
运行在以下环境
应用	postgresql	postgresql	9.0.3	-
运行在以下环境
应用	postgresql	postgresql	9.0.4	-
运行在以下环境
应用	postgresql	postgresql	9.0.5	-
运行在以下环境
应用	postgresql	postgresql	9.0.6	-
运行在以下环境
应用	postgresql	postgresql	9.0.7	-
运行在以下环境
应用	postgresql	postgresql	9.0.8	-
运行在以下环境
应用	postgresql	postgresql	9.1	-
运行在以下环境
应用	postgresql	postgresql	9.1.1	-
运行在以下环境
应用	postgresql	postgresql	9.1.2	-
运行在以下环境
应用	postgresql	postgresql	9.1.3	-
运行在以下环境
应用	postgresql	postgresql	9.1.4	-
运行在以下环境
系统	amazon_AMI	postgresql9	*		Up to (excluding) 8.4.13-1.37.amzn1
运行在以下环境
系统	centos_5	postgresql-server	*		Up to (excluding) 8.4.13-1.el5_8
运行在以下环境
系统	centos_6	postgresql-test	*		Up to (excluding) 8.4.13-1.el6_3
运行在以下环境
系统	oracle_5	oraclelinux-release	*		Up to (excluding) 8.4.13-1.el5_8
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 8.4.13-1.el5_8
运行在以下环境
系统	redhat_5	postgresql	*		Up to (excluding) 0:8.1.23-6.el5_8
运行在以下环境
系统	redhat_6	postgresql84	*		Up to (excluding) 0:8.4.13-1.el5_8
运行在以下环境
系统	suse_12	libecpg6	*		Up to (excluding) 9.3.5-2
运行在以下环境
系统	ubuntu_12.04.5_lts	postgresql-8.4	*		Up to (excluding) 8.4.22-0ubuntu0.12.04
运行在以下环境
系统	ubuntu_14.04.6_lts	postgresql-9.1	*		Up to (excluding) 9.1.5-1

攻击路径

远程
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

低危 PostgreSQL 'xslt_process()'任意文件创建或覆盖漏洞

漏洞描述

解决建议

参考链接

受影响软件情况