PostgreSQL發布三大漏洞補丁「附鏈接」

E安全8月15日訊 PostgreSQL發布了針對9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的三大安全補丁，開發人員應儘快更新。

PostgreSQL 8月10日發布公告指出，PostgreSQL全球開發團隊宣布推出PostgreSQL 10 Beta 3，並發布了針對9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的更新。

漏洞：CVE-2017-7547

這個熱門的對象關係資料庫管理系統（ORDBMS）受漏洞CVE-2017-7547影響，攻擊者可遠程利用該漏洞獲取他人密碼。

Bugzilla指出，PostgreSQL在處理pg_user_mappings視圖過程中存在授權漏洞。經驗證的遠程攻擊者可能會利用該漏洞從用戶映射中獲取密碼，執行此操作無需具備特權。

這篇公告指出，The pg_user_mappings視圖長期要求具有外部伺服器的特權，以便能查看與伺服器用戶映射相關的「選項」，尤其是密碼。針對CVE-2017-7486的補丁刪除了這種需求，這樣一來，每個用戶便能從外部伺服器提供商為問題用戶定義的用戶映射中獲取密碼，即使外部伺服器提供商未授權任何實際的特權，問題用戶也可能會獲取密碼，並通過另一種機制連接。

漏洞：CVE-2017-7546

導致伺服器接受空密碼的漏洞CVE-2017-7546。

公告指出，儘管libpq拒絕發送空密碼，但仍能使用空密碼驗證PostgreSQL資料庫賬號。遠程攻擊者可利用該漏洞獲取資料庫賬號的許可權。

幾種驗證方法，包括廣泛使用的「md5」也允許使用空密碼。在客戶端，Libpq將不會發送空密碼，這可能已經造成一種錯覺：空密碼等同於禁用賬號（這些賬號要求使用密碼的驗證方法）。相反，攻擊者可能很容易被驗證為用戶。

漏洞：CVE-2017-7548

該漏洞存在於lo_put函數中，其缺失許可權檢查，允許任何用戶修改「大對象」（Large Object）中的數據。

公告指出， PostgreSQL處理大對象過程存在授權漏洞，經驗證的遠程用戶不具備任何特權就能利用該漏洞重寫整個對象內容，最終導致拒絕服務。

PostgreSQL還提醒用戶，將於9月停止使用版本9.2。

修復方式：https://www.postgresql.org/about/news/1772/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！