CNNVD-ID编号 | CNNVD-200605-468 |
CVE编号 | CVE-2006-2314 |
发布时间 | 2006-05-24 |
更新时间 | 2006-05-25 |
漏洞类型 | SQL注入 |
漏洞来源 | Akio Ishida Yasuo Ohgaki |
危险等级 | 高危 |
威胁类型 | 远程 |
厂 商 | postgresql |
PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。
PostgreSQL中存在多个SQL注入漏洞:
1 远程攻击者可以在SQL命令中嵌入特制字符串,使用无效编码的多字节字符绕过标准的字符转义模式,导致向数据库注入恶意的SQL命令。
2 如果允许将0x5c(反斜线的ASCII码)用作多字节字符的结尾字节的话,则在处理这个多字节时将ASCII单引号\"\'\'\"转义为\"\\'\'\"的操作存在漏洞。这至少包括SJIS、BIG5、GBK、GB18030和UHC。如果在SQL命令中嵌入了不可信任字符,则在进行上述转换时存在SQL注入漏洞。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: Dovecot Dovecot 0.99.14 Ubuntu dovecot-common_0.99.14-1ubuntu1.1_amd64.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-common_0 .99.14-1ubuntu1.1_amd64.deb Ubuntu dovecot-common_0.99.14-1ubuntu1.1_i386.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-common_0 .99.14-1ubuntu1.1_i386.deb Ubuntu dovecot-common_0.99.14-1ubuntu1.1_powerpc.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-common_0 .99.14-1ubuntu1.1_powerpc.deb Ubuntu dovecot-imapd_0.99.14-1ubuntu1.1_amd64.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-imapd_0. 99.14-1ubuntu1.1_amd64.deb Ubuntu dovecot-imapd_0.99.14-1ubuntu1.1_i386.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-imapd_0. 99.14-1ubuntu1.1_i386.deb Ubuntu dovecot-imapd_0.99.14-1ubuntu1.1_powerpc.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-imapd_0. 99.14-1ubuntu1.1_powerpc.deb Ubuntu dovecot-pop3d_0.99.14-1ubuntu1.1_amd64.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-pop3d_0. 99.14-1ubuntu1.1_amd64.deb Ubuntu dovecot-pop3d_0.99.14-1ubuntu1.1_i386.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-pop3d_0. 99.14-1ubuntu1.1_i386.deb Ubuntu dovecot-pop3d_0.99.14-1ubuntu1.1_powerpc.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot-pop3d_0. 99.14-1ubuntu1.1_powerpc.deb Ubuntu dovecot_0.99.14-1ubuntu1.1_all.deb Ubuntu 5.10: http://security.ubuntu.com/ubuntu/pool/main/d/dovecot/dovecot_0.99.14- 1ubuntu1.1_all.deb Wietse Venema Postfix 2.1.5 Ubuntu postfix-dev_2.1.5-9ubuntu3.1_all.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-dev_2.1. 5-9ubuntu3.1_all.deb Ubuntu postfix-doc_2.1.5-9ubuntu3.1_all.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-doc_2.1. 5-9ubuntu3.1_all.deb Ubuntu postfix-ldap_2.1.5-9ubuntu3.1_amd64.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-ldap_2.1 .5-9ubuntu3.1_amd64.deb Ubuntu postfix-ldap_2.1.5-9ubuntu3.1_i386.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-ldap_2.1 .5-9ubuntu3.1_i386.deb Ubuntu postfix-ldap_2.1.5-9ubuntu3.1_powerpc.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-ldap_2.1 .5-9ubuntu3.1_powerpc.deb Ubuntu postfix-mysql_2.1.5-9ubuntu3.1_amd64.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-mysql_2. 1.5-9ubuntu3.1_amd64.deb Ubuntu postfix-mysql_2.1.5-9ubuntu3.1_i386.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-mysql_2. 1.5-9ubuntu3.1_i386.deb Ubuntu postfix-mysql_2.1.5-9ubuntu3.1_powerpc.deb Ubuntu 5.04: http://security.ubuntu.com/ubuntu/pool/main/p/postfix/postfix-mysql_2. 1.5-9ubuntu3.1_powerpc.deb
来源: VUPEN
名称: ADV-2006-1941
来源: MLIST
名称: [pgsql-announce] 20060523 Security Releases for All Active Versions
链接:http://archives.postgresql.org/pgsql-announce/2006-05/msg00010.php
来源: www.postgresql.org
来源: XF
名称: postgresql-ascii-sql-injection(26628)
来源: XF
名称: postgresql-multibyte-sql-injection(26627)
来源: UBUNTU
名称: USN-288-1
链接:http://www.ubuntulinux.org/support/documentation/usn/usn-288-1
来源: UBUNTU
名称: USN-288-3
来源: UBUNTU
名称: USN-288-2
来源: TRUSTIX
名称: 2006-0032
来源: BID
名称: 18092
来源: BUGTRAQ
名称: 20060524 rPSA-2006-0080-1 postgresql postgresql-server
链接:http://www.securityfocus.com/archive/1/archive/1/435161/100/0/threaded
来源: BUGTRAQ
名称: 20060523 PostgreSQL security releases 8.1.4, 8.0.8, 7.4.13, 7.3.15
链接:http://www.securityfocus.com/archive/1/archive/1/435038/100/0/threaded
来源: REDHAT
名称: RHSA-2006:0526
来源: OSVDB
名称: 25731
来源: SUSE
名称: SUSE-SR:2006:021
链接:http://www.novell.com/linux/security/advisories/2006_21_sr.html
来源: MANDRIVA
名称: MDKSA-2006:098
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:098
来源: DEBIAN
名称: DSA-1087
来源: support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2006-113.htm
来源: SECTRACK
名称: 1016142
来源: GENTOO
名称: GLSA-200607-04
来源: SECUNIA
名称: 21749
来源: SECUNIA
名称: 21001
来源: SECUNIA
名称: 20782
来源: SECUNIA
名称: 20653
来源: SECUNIA
名称: 20555
来源: SECUNIA
名称: 20503
来源: SECUNIA
名称: 20451
来源: SECUNIA
名称: 20435
来源: SECUNIA
名称: 20314
来源: SECUNIA
名称: 20232
来源: SECUNIA
名称: 20231
来源: SUSE
名称: SUSE-SA:2006:030
链接:http://lists.suse.com/archive/suse-security-announce/2006-Jun/0002.html
来源: MANDRIVA
名称: MDKSA-2006:098
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:098