PostgreSQL發(fā)布了針對(duì)9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的三大安全補(bǔ)丁，開(kāi)發(fā)人員應(yīng)盡快更新。

PostgreSQL 8月10日發(fā)布公告指出，PostgreSQL全球開(kāi)發(fā)團(tuán)隊(duì)宣布推出PostgreSQL 10 Beta 3，并發(fā)布了針對(duì)9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的更新。

1.jpg

漏洞：CVE-2017-7547

這個(gè)熱門(mén)的對(duì)象關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)(ORDBMS)受漏洞CVE-2017-7547影響，攻擊者可遠(yuǎn)程利用該漏洞獲取他人密碼。

Bugzilla指出，PostgreSQL在處理pg_user_mappings視圖過(guò)程中存在授權(quán)漏洞。經(jīng)驗(yàn)證的遠(yuǎn)程攻擊者可能會(huì)利用該漏洞從用戶(hù)映射中獲取密碼，執(zhí)行此操作無(wú)需具備特權(quán)。

這篇公告指出，The pg_user_mappings視圖長(zhǎng)期要求具有外部服務(wù)器的特權(quán)，以便能查看與服務(wù)器用戶(hù)映射相關(guān)的“選項(xiàng)”，尤其是密碼。針對(duì)CVE-2017-7486的補(bǔ)丁刪除了這種需求，這樣一來(lái)，每個(gè)用戶(hù)便能從外部服務(wù)器提供商為問(wèn)題用戶(hù)定義的用戶(hù)映射中獲取密碼，即使外部服務(wù)器提供商未授權(quán)任何實(shí)際的特權(quán)，問(wèn)題用戶(hù)也可能會(huì)獲取密碼，并通過(guò)另一種機(jī)制連接。

漏洞：CVE-2017-7546

導(dǎo)致服務(wù)器接受空密碼的漏洞CVE-2017-7546。

公告指出，盡管libpq拒絕發(fā)送空密碼，但仍能使用空密碼驗(yàn)證PostgreSQL數(shù)據(jù)庫(kù)賬號(hào)。遠(yuǎn)程攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)賬號(hào)的權(quán)限。

幾種驗(yàn)證方法，包括廣泛使用的“md5”也允許使用空密碼。在客戶(hù)端，Libpq將不會(huì)發(fā)送空密碼，這可能已經(jīng)造成一種錯(cuò)覺(jué)：空密碼等同于禁用賬號(hào)(這些賬號(hào)要求使用密碼的驗(yàn)證方法)。相反，攻擊者可能很容易被驗(yàn)證為用戶(hù)。

漏洞：CVE-2017-7548

該漏洞存在于lo_put()函數(shù)中，其缺失權(quán)限檢查，允許任何用戶(hù)修改“大對(duì)象”(Large Object)中的數(shù)據(jù)。

公告指出， PostgreSQL處理大對(duì)象過(guò)程存在授權(quán)漏洞，經(jīng)驗(yàn)證的遠(yuǎn)程用戶(hù)不具備任何特權(quán)就能利用該漏洞重寫(xiě)整個(gè)對(duì)象內(nèi)容，最終導(dǎo)致拒絕服務(wù)。

PostgreSQL還提醒用戶(hù)，將于9月停止使用版本9.2。