PostgreSQL多个整数溢出漏洞(CVE-2014-2669)
发布日期:2014-02-17
更新日期:2014-04-03
受影响系统:
PostgreSQL PostgreSQL 9.3.x
PostgreSQL PostgreSQL 9.2.x
PostgreSQL PostgreSQL 9.1.x
PostgreSQL PostgreSQL 9.0.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 66557
CVE(CAN) ID: CVE-2014-2669
PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集。
PostgreSQL 9.0.16, 9.1.12, 9.2.7, 9.3.3版本在contrib/hstore/hstore_io.c的实现上存在多个整数溢出漏洞,经过身份验证的远程用户通过contrib/hstore/hstore_io.c内的hstore_recv, hstore_from_arrays, hstore_from_array函数及contrib/hstore/hstore_op.c内的hstoreArrayToPairs函数,利用此漏洞可触发缓冲区溢出,导致在受影响应用上下文中执行任意代码。
<*来源:vendor
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
PostgreSQL
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.postgresql.org
https://github.com/postgres/postgres/commit/31400a673325147e1205326008e32135a78b4d8a
PostgreSQL 的详细介绍:请点这里
PostgreSQL 的下载地址:请点这里