? 关于PostgreSQL任意代码执行漏洞的安全公告-bet36最新备用投注_bet36平台_皇冠bet36 365bet投注vip_365bet代理网_365bet平台开户网址
安全公告
当前位置: 首页>>网络安全>>安全公告>>正文
关于PostgreSQL任意代码执行漏洞的安全公告
2019-03-28 ? CNVD ??(点击: )

大工网安告[2019]010号

一、???? 情况分析

综合CNVD及绿盟、补天等安全厂商消息,近日,安全研究人员披露了PostgreSQL提权代码执行漏洞(CVE-2019-9193)的漏洞细节,具有数据库服务端文件读权限的攻击者利用此漏洞,可执行任意系统命令。

PostgreSQL是一款功能强大的数据库软件,可运行在所有主流操作系统上,包括Linux、Windows、Mac OS X等。此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中,“pg_read_server_files”组内用户执行上述命令后,可获取数据库超级用户权限,从而执行任意系统命令。

二、???? 影响范围

受影响的PostgreSQL版本包括从9.3到11.2 。

三、???? 处置建议

postgre暂时未发布相关安全补丁,建议校内使用到postgre数据库的信息化项目管理员关注相关安全补丁进展,目前可参考以下措施进行临时处理:

1、 各应用系统不得使用数据库超级用户连接数据库,如已经使用应尽快进行调整。

2、 尽快检查各项目中PostgreSQL数据库用户权限,并进行相应限制,禁止向PostgreSQL数据库用户分配pg_read_server_files、pg_write_server_files、pg_execute_server_program等权限。

附:参考链接

http://paper.tuisec.win/detail/66d2b3ec28c7239

https://nosec.org/home/detail/2368.html

http://www.cnvd.org.cn/flaw/show/CNVD-2019-08279

http://blog.nsfocus.net/postgresql-cve-2019-9193/