【風(fēng)險(xiǎn)通告】PostgreSQL任意代碼執(zhí)行漏洞
2019-03-27 19:35:00
親愛的金山云用戶:
您好��!2019年03月27日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到PostgreSQL存在高危漏洞��,其漏洞細(xì)節(jié)已被披露�����,攻擊者可以利用此漏洞執(zhí)行任意系統(tǒng)命令���。詳情如下:
漏洞編號(hào):
CVE-2019-9193
漏洞名稱:
PostgreSQL任意代碼執(zhí)行漏洞
漏洞危害等級(jí):
高危
漏洞描述:
PostgreSQL是一個(gè)功能強(qiáng)大的對(duì)象關(guān)系數(shù)據(jù)庫系統(tǒng)�����,可以在所有的主流操作系統(tǒng)中運(yùn)行�。本次發(fā)現(xiàn)的漏洞存在于導(dǎo)入導(dǎo)出數(shù)據(jù)的命令“COPY TO/FROM PROGRAM”中�,這個(gè)命令允許數(shù)據(jù)庫的超級(jí)用戶以及pg_read_server_files組中的任何用戶執(zhí)行操作系統(tǒng)命令,也就是說數(shù)據(jù)庫的超級(jí)用戶與運(yùn)行數(shù)據(jù)庫的用戶在操作系統(tǒng)上擁有相同的權(quán)限���,利用該漏洞可以執(zhí)行任意系統(tǒng)命令�����。
影響版本:
PostgreSQL Postgresql >=9.3
修復(fù)方案:
目前官方未提供修復(fù)方案��,請(qǐng)及時(shí)關(guān)注官方補(bǔ)丁更新情況��;
建議:pg_read_server_files��、pg_write_server_files���、pg_execute_server_program 角色涉及到讀寫數(shù)據(jù)庫服務(wù)端文件,權(quán)限較大�,分配此角色權(quán)限給數(shù)據(jù)庫用戶時(shí)需謹(jǐn)慎考慮�����。