English

◀◁ 뒤로 취약점ID 25007 위험도 40 포트 5432 프로토콜 TCP 분류 DB 상세설명 해당 PostgreSQL 데이터베이스는 'postgres' 혹은 'pgsql' 사용자에 대한 패스워드를 설정하지 않았다. 이것은 사용자들이 원격으로 그 DB 계정들로 데이터베이스에 로그인하게 해 주며 데이타에 대해서 사용자가 원하는 무엇이든지 할 수 있게 해 준다. (데이타베이스 삭제, 임의의 엔트리 추가, 등등) * 참고 사이트: http://cgi.nessus.org/plugins/dump.php3?id=10483 * 영향을 받는 플랫폼: PostgreSQL 데이터베이스 해결책 취약한 호스트에 로그인한 후, ALTER USER 명령을 사용하여 이 계정에 대한 패스워드를 설정한다 (www.postgresql.org에서 관련 문서를 찾아볼 수 있음). 여기에 더하여 다음과 같이 pg_hba.conf 파일을 이 데이터베이스에 대한 합법적인 액세스 권한을 가지고 있는 모든 원격지의 호스트들에 대해 패스워드 (혹은 kerberos) 인증을 요구하도록 해야 한다. host all 0.0.0.0 0.0.0.0 password 또한 이 파일에 'local all password' 라인을 추가함으로써 UNIX domain sockets을 이용하여 로컬에서만 패스워드를 인증받아 로그인 가능하게 할 수도 있다. 관련 URL CVE-1999-0508 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)