漏洞信息详情
PostgreSQL TZ环境变量缓冲区溢出漏洞
- CNNVD编号:CNNVD-200301-024
- 危害等级: 中危
- CVE编号: CVE-2002-1402
- 漏洞类型: 边界条件错误
- 发布时间: 2003-01-17
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: postgresql
- 漏洞来源: Sir Mordred The Tr...
漏洞简介
PostgreSQL是一款增强型对象-关系数据库管理程序,支持SQL标准子集扩展,适用于多种操作系统下。 PostgreSQL在处理TZ环境变量时存在漏洞,本地攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以PostgreSQL进程权限在系统上执行任意指令。 PostgreSQL在处理超长TZ环境变量可触发缓冲区溢出,精心构建TZ环境变量数据,本地用户可以对系统进行拒绝服务或以PostgreSQL进程权限在系统上执行任意指令。
漏洞公告
厂商补丁: Conectiva --------- Conectiva已经为此发布了一个安全公告(CLA-2002:524)以及相应补丁:
CLA-2002:524:postgresql
链接: http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000524
补丁下载:
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/postgresql-7.0.3-11U60_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-clients-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-clients-X11-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-devel-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-devel-static-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-doc-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-jdbc-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-lib-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-odbc-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-perl-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-python-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-tcl-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/postgresql-test-7.0.3-11U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/postgresql-7.1.3-1U70_3cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-clients-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-clients-X11-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-contrib-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-devel-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-devel-static-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-doc-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-lib-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-odbc-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-perl-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-python-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-tcl-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/postgresql-test-7.1.3-1U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/postgresql-7.2.2-1U80_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-clients-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-clients-X11-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-contrib-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-devel-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-devel-static-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-doc-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-lib-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-odbc-7.2.2-1U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/postgresql-perl-7.2.2-1U80_2cl.i386.rpm
参考网址
来源: DEBIAN 名称: DSA-165 链接:http://www.debian.org/security/2002/dsa-165 来源: MLIST 名称: [pgsql-announce] 20020824 PostgreSQL 7.2.2: Security Release 链接:http://archives.postgresql.org/pgsql-announce/2002-08/msg00004.php 来源: REDHAT 名称: RHSA-2003:001 链接:http://www.redhat.com/support/errata/RHSA-2003-001.HTML 来源: MANDRAKE 名称: MDKSA-2002:062 链接:http://www.mandriva.com/security/advisories?name=MDKSA-2002:062 来源: SECUNIA 名称: 8034 链接:http://secunia.com/advisories/8034 来源: BUGTRAQ 名称: 20020826 GLSA: PostgreSQL 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103036987114437&w=2 来源: BUGTRAQ 名称: 20020824 Fwd: [GENERAL] PostgreSQL 7.2.2: Security Release 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103021186622725&w=2 来源: CONECTIVA 名称: CLA-2002:524 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000524
受影响实体
- Postgresql Postgresql:7.0.3
- Postgresql Postgresql:6.5.3
- Postgresql Postgresql:6.3.2
- Postgresql Postgresql:7.1
- Postgresql Postgresql:7.1.1
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论