| 취약점ID |
25050 |
| 위험도 |
40 |
| 포트 |
5432 |
| 프로토콜 |
TCP |
| 분류 |
DB |
| 상세설명 |
PostgreSQL 서버의 버전 정보에 따르면 해당 서버에는 다중의 원격 취약점들(3)이 존재한다. PostgreSQL은 SQL의 확장 서브셋(subset)을 지원하는 객체-관계형 데이터베이스 관리 시스템(DBMS) 로서 모든 소스가 공개되어 있는 무료 소프트웨어이다. PostgreSQL 7.3에서 8.0.2까지의 버전들은 아래에 있는 두 개의 취약점들에 취약하다. 이 취약점들은 악의적인 사용자들에 의해 서비스 거부 공격을 일으키거나 상위 권한을 획득하는 데 도용될 수 있다.
1) 문자 변환 취약점: 원격지의 인증받은 공격자가 문자 세트 변환(character set conversion) 함수들에 있는 취약점으로 인하여 임의의 SQL 명령들을 실행시킬 수 있게 해 준다.
2) tsearch2 취약점: "internal" 인수들을 수용하는 함수들을 호출하기 위한 잘 조작된 SQL 명령을 보냄으로써, 원격지의 인증받은 공격자는 서비스를 크래쉬 시킬 수 있다. 취약점은 contrib/tsearch2 모듈이 설치되어 있는 7.4와 그 이후의 버전들에 영향을 미친다.
* 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 PostgreSQL 서버의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다.
* 참고 사이트:
http://secunia.com/advisories/15217/
* 영향을 받는 플랫폼:
PostgreSQL 7.3에서 8.0.2까지의 버전들
모든 운영체제 모든 버전 |
| 해결책 |
다음 PostgreSQL Security Advisory 2005-05-02를 참조하여 적절한 조치방법을 적용한다.
-- 혹은 --
PostgreSQL FTP 웹 페이지인 http://www.postgresql.org/download/ 에서 구할 수 있는 PostgreSQL의 가장 최신 버전(7.3.10, 7.4.8, 8.0.3 혹은 이후)으로 업그레이드 하여야 한다. |
| 관련 URL |
CVE-2005-1409,CVE-2005-1410 (CVE) |
| 관련 URL |
13475,13476 (SecurityFocus) |
| 관련 URL |
20401,20402 (ISS) |
|
