漏洞信息详情
PostgreSQL 多个SQL注入漏洞
- CNNVD编号:CNNVD-200605-460 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2006-2313
- 漏洞类型: SQL注入
- 发布时间: 2006-05-24
- 威胁类型: 远程
- 更新时间: 2006-05-25
- 厂 商: postgresql
- 漏洞来源: Akio Ishida Yasuo ...
-
漏洞简介
PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。
PostgreSQL中存在多个SQL注入漏洞:
1 远程攻击者可以在SQL命令中嵌入特制字符串,使用无效编码的多字节字符绕过标准的字符转义模式,导致向数据库注入恶意的SQL命令。
2 如果允许将0x5c(反斜线的ASCII码)用作多字节字符的结尾字节的话,则在处理这个多字节时将ASCII单引号\"\'\'\"转义为\"\\'\'\"的操作存在漏洞。这至少包括SJIS、BIG5、GBK、GB18030和UHC。如果在SQL命令中嵌入了不可信任字符,则在进行上述转换时存在SQL注入漏洞。
漏洞公告
参考网址
来源: VUPEN
名称: ADV-2006-1941
链接:http://www.frsirt.com/english/advisories/2006/1941
来源: MLIST
名称: [pgsql-announce] 20060523 Security Releases for All Active Versions
链接:http://archives.postgresql.org/pgsql-announce/2006-05/msg00010.php
来源: www.postgresql.org
链接:http://www.postgresql.org/docs/techdocs.50
来源: XF
名称: postgresql-multibyte-sql-injection(26627)
链接:http://xforce.iss.net/xforce/xfdb/26627
来源: UBUNTU
名称: USN-288-1
链接:http://www.ubuntulinux.org/support/documentation/usn/usn-288-1
来源: UBUNTU
名称: USN-288-2
链接:http://www.ubuntu.com/usn/usn-288-2
来源: TRUSTIX
名称: 2006-0032
链接:http://www.trustix.org/errata/2006/0032/
来源: BID
名称: 18092
链接:http://www.securityfocus.com/bid/18092
来源: BUGTRAQ
名称: 20060524 rPSA-2006-0080-1 postgresql postgresql-server
链接:http://www.securityfocus.com/archive/1/archive/1/435161/100/0/threaded
来源: BUGTRAQ
名称: 20060523 PostgreSQL security releases 8.1.4, 8.0.8, 7.4.13, 7.3.15
链接:http://www.securityfocus.com/archive/1/archive/1/435038/100/0/threaded
来源: REDHAT
名称: RHSA-2006:0526
链接:http://www.redhat.com/support/errata/RHSA-2006-0526.html
来源: MANDRIVA
名称: MDKSA-2006:098
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:098
来源: DEBIAN
名称: DSA-1087
链接:http://www.debian.org/security/2006/dsa-1087
来源: support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2006-113.htm
来源: SECTRACK
名称: 1016142
链接:http://securitytracker.com/id?1016142
来源: GENTOO
名称: GLSA-200607-04
链接:http://security.gentoo.org/glsa/glsa-200607-04.xml
来源: SECUNIA
名称: 21001
链接:http://secunia.com/advisories/21001
来源: SECUNIA
名称: 20782
链接:http://secunia.com/advisories/20782
来源: SECUNIA
名称: 20653
链接:http://secunia.com/advisories/20653
来源: SECUNIA
名称: 20555
链接:http://secunia.com/advisories/20555
来源: SECUNIA
名称: 20503
链接:http://secunia.com/advisories/20503
来源: SECUNIA
名称: 20451
链接:http://secunia.com/advisories/20451
来源: SECUNIA
名称: 20435
链接:http://secunia.com/advisories/20435
来源: SECUNIA
名称: 20314
链接:http://secunia.com/advisories/20314
来源: SECUNIA
名称: 20232
链接:http://secunia.com/advisories/20232
来源: SECUNIA
名称: 20231
链接:http://secunia.com/advisories/20231
来源: SUSE
名称: SUSE-SA:2006:030
链接:http://lists.suse.com/archive/suse-security-announce/2006-Jun/0002.html
来源: MANDRIVA
名称: MDKSA-2006:098
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:098
来源: SGI
名称: 20060602-01-U
链接:ftp://patches.sgi.com/support/free/security/advisories/20060602-01-U.asc
受影响实体
- Postgresql Postgresql:7.3.14<!--2000-1-1-->
- Postgresql Postgresql:7.4<!--2000-1-1-->
- Postgresql Postgresql:7.4.1<!--2000-1-1-->
- Postgresql Postgresql:7.4.2<!--2000-1-1-->
- Postgresql Postgresql:7.4.3<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...