發佈:
在二月五日時 PostgreSQL 分別針對 8.0、7.4 和 7.3 釋出了 8.0.11、7.4.16 及 7.3.18 的新版本(PostgreSQL Security Release for 8.0, 7.4, 7.3),而在七日則又分別為 8.2、8.1 和 8.0 釋出 8.2.3、8.1.8 和 8.0.12 的安全性更新版本,請注意 8.0 又更新了一次(Revised Security Release available for 8.2, 8.1, 8.0)。
這些新版本都是為了解決安全性的問題而釋出的:
The PostgreSQL Global Development Group releases today a security update for all PostgreSQL 8.X versions: minor versions 8.2.3, 8.1.8, 8.0.12.
此次更新的目的是為了修正 CVE-2007-0555 和 CVE-2007-0556。CVE-2007-0555 影響 7.3.13、7.4.16、8.0.11、8.1.7、8.2.2 及其之前的版本。它允許攻擊者去關閉 SQL 函式中參數的資料型態查驗,進而讓遠端已授權的使用者發動 DOS 攻擊,或存取資料庫內容。而 CVE-2007-0556 影響 8.0.11、8.1.7、8.2.2 及其之前的版本。它允許遠端已授權的使用者發動 DOS 攻擊,並可能經由 ALTER COLUMN TYPE 的 SQL 敘述去存取資料庫內容。
PostgreSQL 團隊建議捨棄(discard)存有漏洞的版本,改用已更新過的新版。
相關連結:
分類:
標籤: