【風(fēng)險(xiǎn)通告】PostgreSQL任意代碼執(zhí)行漏洞
2019-03-27 19:35:00
親愛的金山云用戶:
您好!2019年03月27日���,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到PostgreSQL存在高危漏洞���,其漏洞細(xì)節(jié)已被披露�,攻擊者可以利用此漏洞執(zhí)行任意系統(tǒng)命令����。詳情如下:
漏洞編號(hào):
CVE-2019-9193
漏洞名稱:
PostgreSQL任意代碼執(zhí)行漏洞
漏洞危害等級(jí):
高危
漏洞描述:
PostgreSQL是一個(gè)功能強(qiáng)大的對(duì)象關(guān)系數(shù)據(jù)庫(kù)系統(tǒng),可以在所有的主流操作系統(tǒng)中運(yùn)行�����。本次發(fā)現(xiàn)的漏洞存在于導(dǎo)入導(dǎo)出數(shù)據(jù)的命令“COPY TO/FROM PROGRAM”中��,這個(gè)命令允許數(shù)據(jù)庫(kù)的超級(jí)用戶以及pg_read_server_files組中的任何用戶執(zhí)行操作系統(tǒng)命令�����,也就是說數(shù)據(jù)庫(kù)的超級(jí)用戶與運(yùn)行數(shù)據(jù)庫(kù)的用戶在操作系統(tǒng)上擁有相同的權(quán)限��,利用該漏洞可以執(zhí)行任意系統(tǒng)命令����。
影響版本:
PostgreSQL Postgresql >=9.3
修復(fù)方案:
目前官方未提供修復(fù)方案�����,請(qǐng)及時(shí)關(guān)注官方補(bǔ)丁更新情況��;
建議:pg_read_server_files、pg_write_server_files�、pg_execute_server_program 角色涉及到讀寫數(shù)據(jù)庫(kù)服務(wù)端文件,權(quán)限較大���,分配此角色權(quán)限給數(shù)據(jù)庫(kù)用戶時(shí)需謹(jǐn)慎考慮��。