PostgreSQL 多个SQL注入漏洞

CNNVD-ID编号 CNNVD-200605-468
CVE编号 CVE-2006-2314
发布时间 2006-05-24
更新时间 2006-05-25
漏洞类型 SQL注入
漏洞来源 Akio Ishida Yasuo Ohgaki
危险等级 高危
威胁类型 远程
厂 商 postgresql

漏洞介绍

PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。

PostgreSQL中存在多个SQL注入漏洞:

1 远程攻击者可以在SQL命令中嵌入特制字符串,使用无效编码的多字节字符绕过标准的字符转义模式,导致向数据库注入恶意的SQL命令。

2 如果允许将0x5c(反斜线的ASCII码)用作多字节字符的结尾字节的话,则在处理这个多字节时将ASCII单引号\"\'\'\"转义为\"\\'\'\"的操作存在漏洞。这至少包括SJIS、BIG5、GBK、GB18030和UHC。如果在SQL命令中嵌入了不可信任字符,则在进行上述转换时存在SQL注入漏洞。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: Dovecot Dovecot 0.99.14 Ubuntu dovecot-common_0.99.14-1ubuntu1.1_amd64.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-common_0 .99.14-1ubuntu1.1_amd64.deb Ubuntu dovecot-common_0.99.14-1ubuntu1.1_i386.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-common_0 .99.14-1ubuntu1.1_i386.deb Ubuntu dovecot-common_0.99.14-1ubuntu1.1_powerpc.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-common_0 .99.14-1ubuntu1.1_powerpc.deb Ubuntu dovecot-imapd_0.99.14-1ubuntu1.1_amd64.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-imapd_0. 99.14-1ubuntu1.1_amd64.deb Ubuntu dovecot-imapd_0.99.14-1ubuntu1.1_i386.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-imapd_0. 99.14-1ubuntu1.1_i386.deb Ubuntu dovecot-imapd_0.99.14-1ubuntu1.1_powerpc.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-imapd_0. 99.14-1ubuntu1.1_powerpc.deb Ubuntu dovecot-pop3d_0.99.14-1ubuntu1.1_amd64.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-pop3d_0. 99.14-1ubuntu1.1_amd64.deb Ubuntu dovecot-pop3d_0.99.14-1ubuntu1.1_i386.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-pop3d_0. 99.14-1ubuntu1.1_i386.deb Ubuntu dovecot-pop3d_0.99.14-1ubuntu1.1_powerpc.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-pop3d_0. 99.14-1ubuntu1.1_powerpc.deb Ubuntu dovecot_0.99.14-1ubuntu1.1_all.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot_0.99.14- 1ubuntu1.1_all.deb Wietse Venema Postfix 2.1.5 Ubuntu postfix-dev_2.1.5-9ubuntu3.1_all.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-dev_2.1. 5-9ubuntu3.1_all.deb Ubuntu postfix-doc_2.1.5-9ubuntu3.1_all.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-doc_2.1. 5-9ubuntu3.1_all.deb Ubuntu postfix-ldap_2.1.5-9ubuntu3.1_amd64.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-ldap_2.1 .5-9ubuntu3.1_amd64.deb Ubuntu postfix-ldap_2.1.5-9ubuntu3.1_i386.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-ldap_2.1 .5-9ubuntu3.1_i386.deb Ubuntu postfix-ldap_2.1.5-9ubuntu3.1_powerpc.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-ldap_2.1 .5-9ubuntu3.1_powerpc.deb Ubuntu postfix-mysql_2.1.5-9ubuntu3.1_amd64.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-mysql_2. 1.5-9ubuntu3.1_amd64.deb Ubuntu postfix-mysql_2.1.5-9ubuntu3.1_i386.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-mysql_2. 1.5-9ubuntu3.1_i386.deb Ubuntu postfix-mysql_2.1.5-9ubuntu3.1_powerpc.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-mysql_2. 1.5-9ubuntu3.1_powerpc.deb

参考网址

受影响实体

信息来源