一、 漏洞情况说明:
PostgreSQL 输入验证错误漏洞(CVE-2021-32027 )
The security team typically does not test unsupported versions, but
this problem is quite old. While modifying certain SQL array values,
missing bounds checks let authenticated database users write arbitrary
bytes to a wide area of server memory.
PostgreSQL 是常用的对象关系型数据库。
PostgreSQL 存在输入验证错误漏洞。经过身份验证的数据库用户可以将特制数据传递给应用程序,触发整数溢出并在目标系统上执行任意代码。
二、影响范围:
PostgreSQL 输入验证错误漏洞影响版本:
PostgreSQL: 9.6.0, 9.6.1, 9.6.2, 9.6.3, 9.6.4, 9.6.5, 9.6.6, 9.6.7, 9.6.8, 9.6.9, 9.6.10, 9.6.11, 9.6.12, 9.6.13, 9.6.14, 9.6.15, 9.6.16, 9.6.17, 9.6.18, 9.6.19, 9.6.20, 9.6.21, 10.0, 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 10.10, 10.10.4, 10.11, 10.12, 10.13, 10.14, 10.15, 10.16, 11.0, 11.1, 11.2, 11.3, 11.4, 11.5, 11.6, 11.7, 11.8, 11.9, 11.10, 11.11, 12, 12.0, 12.1, 12.2, 12.3, 12.4, 12.5, 12.6, 13.0, 13.1, 13.2。
三、处置建议:
建议更新到相应的最新小版本(即13.3, 12.7, 11.12, 10.17, 9.6.22),官方已针对问题进行更新,链接如下:https://www.postgresql.org/about/news/postgresql-133-127-1112-1017-and-9622-released-2210/
打补丁升级的后续单独写一篇吧,就不放这了。