PostgreSQL 输入验证错误漏洞(CVE-2021-32027 )

最新推荐文章于 2024-06-18 11:01:11 发布
最新推荐文章于 2024-06-18 11:01:11 发布
阅读量2.1k 收藏
点赞数
分类专栏: 运维平台建设
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28721869/article/details/117015069
版权

一、 漏洞情况说明:

PostgreSQL 输入验证错误漏洞(CVE-2021-32027 )

The security team typically does not test unsupported versions, but
this problem is quite old. While modifying certain SQL array values,
missing bounds checks let authenticated database users write arbitrary
bytes to a wide area of server memory.

PostgreSQL 是常用的对象关系型数据库。
PostgreSQL 存在输入验证错误漏洞。经过身份验证的数据库用户可以将特制数据传递给应用程序,触发整数溢出并在目标系统上执行任意代码。

二、影响范围:

PostgreSQL 输入验证错误漏洞影响版本:
PostgreSQL: 9.6.0, 9.6.1, 9.6.2, 9.6.3, 9.6.4, 9.6.5, 9.6.6, 9.6.7, 9.6.8, 9.6.9, 9.6.10, 9.6.11, 9.6.12, 9.6.13, 9.6.14, 9.6.15, 9.6.16, 9.6.17, 9.6.18, 9.6.19, 9.6.20, 9.6.21, 10.0, 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 10.10, 10.10.4, 10.11, 10.12, 10.13, 10.14, 10.15, 10.16, 11.0, 11.1, 11.2, 11.3, 11.4, 11.5, 11.6, 11.7, 11.8, 11.9, 11.10, 11.11, 12, 12.0, 12.1, 12.2, 12.3, 12.4, 12.5, 12.6, 13.0, 13.1, 13.2。

三、处置建议:

建议更新到相应的最新小版本(即13.3, 12.7, 11.12, 10.17, 9.6.22),官方已针对问题进行更新,链接如下:https://www.postgresql.org/about/news/postgresql-133-127-1112-1017-and-9622-released-2210/
打补丁升级的后续单独写一篇吧,就不放这了。

淡定波007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Postgres漏洞复现
qq_42133828的博客
07-21 901
Postgres漏洞汇现 CVE-2018-1058 漏洞名称: 远程代码执行漏洞 漏洞类型: 远程代码执行 公布时间: 2018-3-1 涉及应用版本: PostgreSQL https://www.securityfocus.com/bid/103221 针对操作系统: windows/linux/mac 漏洞简介: 拥有普通权限的psql用户可以创建恶意函数。在管理员使用某些工具的时候,就会...
windowsserver 2016 PostgreSQL9,网络安全教程
m0_60635224的博客
04-06 956
PostgreSQL adminpack扩展安全漏洞(CVE-2018-1115)PostgreSQL 输入验证错误漏洞(CVE-2021-32027)PostgreSQL SQL注入漏洞(CVE-2019-10208)PostgreSQL 安全漏洞(CVE-2018-1058)收到上述等一系列高危的安全漏洞问题。PostgreSQL不能只小版本升级,需要升到9.12.17-1。
PG源码编译安装之小版本升级(12.2 升级到12.7)
淡定波的博客
05-19 973
一、概述 由于PostgreSQL 输入验证错误漏洞CVE-2021-32027 )问题,需升级pg版本到12.7版本。 二、环境准备 1、安装pg12.2 之前是用脚本自动安装pg12.2版本,可以看到是用源码编译安装的方式: #!/bin/bash ################################# # copyright by hwb # DATE:2020-05-06 # ################################# #postgresql PG_USER
Web安全基础学习:SQL注入漏洞PostgreSql注入
最新发布
qq_51862722的博客
06-18 1084
SQL注入(SQL Injection)是一种常见的Web安全漏洞,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。
PostgreSQL 辟谣存在任意代码执行漏洞:消息不实
weixin_34221036的博客
04-12 379
开发四年只会写业务代码,分布式高并发都不会还做程序员? >>> 近期在互联网媒体上流传 Postgr...
postgresql 查看用户密码_PostgreSQL任意命令执行漏洞利用(CVE-2019-9193)
weixin_39539563的博客
11-24 506
最近没事曰曰内网,偶然发现了一个使用空密码的pg(是的,连爆破都省了)。用navicat连上去看了下几个库都是一些业务测试数据,没什么好收集;不死心,google了一下发现有个比较新的CVE好像可以操作一下~漏洞概述最近,安全研究人员披露了PostgreSQL实例代码执行漏洞CVE-2019-9193)的漏洞细节。具有数据库 服务器 文件读取权限的攻击者可以利用此漏洞执行任意系统命令。从9....
postgresql 安全漏洞介绍
HighGO
06-18 1702
作者:瀚高PG实验室(Highgo PG Lab)-Chrisx 文章目录介绍版本漏洞安全漏洞处理 介绍 PostgreSQL安全更新主要作为次要版本升级提供。我们始终建议您使用可用的最新次要版本,因为它可能还包含其他与安全无关的修复程序。所有已知的安全问题都会在下一个主要版本发布时得到修复。 版本漏洞 漏洞列出了它们出现在哪个主要版本中,以及每个漏洞都固定在哪个版本中。如果该漏洞在没有有效登录的情况下可被利用,则也会说明这一点。它们还列出了一个漏洞类,但我们敦促所有用户阅读该描述,以确定该漏洞是否会影响特
PostgreSQL 高权限命令执行漏洞CVE-2019-9193)
EC_Carrot的博客
07-21 435
漏洞简介 PostgreSQLPostgreSQL组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。 PostgreSQL 9.3至11.2版本中的导入导出数据命令‘COPY TO/FROM PROGRAM’存在操作系统命令注入漏洞。攻击者可利用该漏洞获取数据库超级用户权限,从而执行任意系统命令。 漏洞复现 我使用的是vulhub的环境,默认账号密码为postgres/postgres 登陆PostgreSQL:psql --host y
postgresql-14.1-1-windows-x64
12-05
That has been shown to be possible with a server vulnerable to CVE-2021-23214. The PostgreSQL Project thanks Jacob Champion for reporting this problem. (CVE-2021-23222) Fix physical replication for...
PostgreSQLpostgresql-13.5-1-windows-x64.exe)
11-20
PostgreSQLpostgresql-13.5-1-windows-x64.exe)适用于Windows x86-64 PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统(ORDBMS),是以加州大学计算机系开发的POSTGRES,4.2版本为基础的...
postgresql-12.4-1-windows-x64.exe
09-10
postgresql-12.4-1-windows-x64.exe
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2019-0708检测与修复补丁CVE-2019-0708检测与修复补丁
06-05
CVE-2019-0708检测与修复补丁 下载链接
PostgreSQLpostgresql14-contrib-14.1-1PGDG.rhel7.x86_64.rpm)
11-20
PostgreSQLpostgresql14-contrib-14.1-1PGDG.rhel7.x86_64.rpm)适用于RHEL/CentOS/Oracle Linux 7 - x86_64 PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统(ORDBMS),是以加州大学计算机...
PostgreSQL DBA认证 PGCE-E-092-中级SQL题目
08-26
"PostgreSQL DBA认证 PGCE-E-092-中级SQL题目" PostgreSQL DBA认证 PGCE-E-092-中级SQL题目 PostgreSQL DBA认证PGCE-E-092-中级SQL题目是一个测试SQL掌握程度的题目,涵盖了PostgreSQL数据库管理系统的各种知识点...
PostgreSQL 提权漏洞CVE-2018-1058)
EC_Carrot的博客
07-21 803
漏洞简介 PostgreSQLPostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。 PostgreSQL 9.3版本至10版本中存在安全漏洞。攻击者可利用该漏洞以超级用户的权限执行代码。 参考文章:https://vulhub.org/#/environments/postgres/CVE-2018-1058/ 漏洞复现 我们先通过普通用户vulhub:vulhub的身份登录postgres: psql --ho
windowsserver 2016 PostgreSQL9.6.3-2升级解决其安全漏洞问题
diaya的专栏
02-07 1540
此外,系统还装了postgis,所以这里postgis也需要升级成相应的版本:postgis-bundle-pg12x64-setup-3.4.1-1.exe。加了后,发现还是有下面问题,最后在网上找到方法,将C:\Users\Administrator\AppData\Roaming\pgAdmin目录下的所有文件全部删除,才将此问题解决。备份的格式尽量为sql。PostgreSQL 输入验证错误漏洞(CVE-2019-10211)PostgreSQL SQL注入漏洞(CVE-2019-10208)
Postgresql漏洞合集
weixin_46626737的博客
07-03 788
需要超级管理员数据库用户(postgres)才可以,因为在9.3版本之后,默认得开启了COPY TO/FROM PROGRAM功能,可以让超级用户去执行任意系统命令。2.PostgreSQL 高权限命令执行漏洞CVE-2019-9193)1.PostgreSQL 提权漏洞CVE-2018-1058)漏洞版本:9.3-11.2。漏洞版本:9.3-10。
postgresql 把19790217转成1979-02-17
05-30
你可以使用 PostgreSQL 中的 to_char 函数将日期转换为字符串,并指定日期格式。例如,你可以使用以下语句将日期19790217转换为1979-02-17格式的字符串: ``` SELECT TO_CHAR(TO_DATE('19790217', 'YYYYMMDD'), 'YYYY-MM-DD'); ``` 这将返回字符串 '1979-02-17'。请注意,我们首先使用 TO_DATE 函数将字符串转换为日期,然后使用 TO_CHAR 函数将其转换为指定格式的字符串。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

淡定波007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值