PostgreSQL多个整数溢出漏洞(CVE-2014-2669)

发布日期:2014-02-17
更新日期:2014-04-03

受影响系统:
PostgreSQL PostgreSQL 9.3.x
 PostgreSQL PostgreSQL 9.2.x
 PostgreSQL PostgreSQL 9.1.x
 PostgreSQL PostgreSQL 9.0.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 66557
 CVE(CAN) ID: CVE-2014-2669
 
PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集。
 
PostgreSQL 9.0.16, 9.1.12, 9.2.7, 9.3.3版本在contrib/hstore/hstore_io.c的实现上存在多个整数溢出漏洞,经过身份验证的远程用户通过contrib/hstore/hstore_io.c内的hstore_recv, hstore_from_arrays, hstore_from_array函数及contrib/hstore/hstore_op.c内的hstoreArrayToPairs函数,利用此漏洞可触发缓冲区溢出,导致在受影响应用上下文中执行任意代码。
 
<*来源:vendor
  *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
PostgreSQL
 ----------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://www.postgresql.org
 https://github.com/postgres/postgres/commit/31400a673325147e1205326008e32135a78b4d8a

PostgreSQL 的详细介绍:请点这里
PostgreSQL 的下载地址:请点这里

相关推荐