-
-
[转帖]PostgreSQL安全更新,请立即升级
-
发表于: 2013-4-9 10:38 1306
-
新闻链接:http://www.iteye.com/news/27502-postgresql-security-update
新闻时间:2013-04-08 11:11
新闻正文:
上周,PostgreSQL官方声称在所有PostgreSQL版本中发现了严重的安全漏洞,并锁定了代码库。
按照既定计划,PostgreSQL官方在4月4日放出了修复版本——9.2.4、9.1.9、9.0.13和8.4.17,强烈建议所有用户立即升级至这些版本。
这些版本主要修复的高危安全漏洞:
CVE-2013-1899:如果攻击者在连接请求中包含以“-”开头的数据库名称,则可能会破坏服务器数据目录中的文件。任何可访问PostgreSQL服务器监听端口的用户均可以启动这一请求。
此外,新版本还修复了2处较小的安全漏洞以及Linux和Mac OS X图形化安装程序中的2处漏洞:
CVE-2013-1900:由contrib / pgcrypto函数所产生的随机数可能会被其他数据库用户很容易猜测到
CVE-2013-1901:允许非特权用户运行可能会干扰备份进程的命令。
CVE-2013-1903:不安全地将超级用户密码传递到一个脚本中。
CVE-2013-1902:可在/tmp中使用可预测的文件名
详细信息:http://www.postgresql.org/about/news/1456/
下载地址:http://www.postgresql.org/download/
新闻时间:2013-04-08 11:11
新闻正文:
上周,PostgreSQL官方声称在所有PostgreSQL版本中发现了严重的安全漏洞,并锁定了代码库。
按照既定计划,PostgreSQL官方在4月4日放出了修复版本——9.2.4、9.1.9、9.0.13和8.4.17,强烈建议所有用户立即升级至这些版本。
这些版本主要修复的高危安全漏洞:
CVE-2013-1899:如果攻击者在连接请求中包含以“-”开头的数据库名称,则可能会破坏服务器数据目录中的文件。任何可访问PostgreSQL服务器监听端口的用户均可以启动这一请求。
此外,新版本还修复了2处较小的安全漏洞以及Linux和Mac OS X图形化安装程序中的2处漏洞:
CVE-2013-1900:由contrib / pgcrypto函数所产生的随机数可能会被其他数据库用户很容易猜测到
CVE-2013-1901:允许非特权用户运行可能会干扰备份进程的命令。
CVE-2013-1903:不安全地将超级用户密码传递到一个脚本中。
CVE-2013-1902:可在/tmp中使用可预测的文件名
详细信息:http://www.postgresql.org/about/news/1456/
下载地址:http://www.postgresql.org/download/
赞赏
他的文章
看原图
赞赏
雪币:
留言: