E安全8月15日讯 PostgreSQL发布了针对9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的三大安全补丁，开发人员应尽快更新。

PostgreSQL 8月10日发布公告指出，PostgreSQL全球开发团队宣布推出PostgreSQL 10 Beta 3，并发布了针对9.6.4、9.5.8、9.4.13、9.3.18和9.2.22版本的更新。

Bugzilla指出，PostgreSQL在处理pg_user_mappings视图过程中存在授权漏洞。经验证的远程攻击者可能会利用该漏洞从用户映射中获取密码，执行此操作无需具备特权。

这篇公告指出，The pg_user_mappings视图长期要求具有外部服务器的特权，以便能查看与服务器用户映射相关的“选项”，尤其是密码。针对CVE-2017-7486的补丁删除了这种需求，这样一来，每个用户便能从外部服务器提供商为问题用户定义的用户映射中获取密码，即使外部服务器提供商未授权任何实际的特权，问题用户也可能会获取密码，并通过另一种机制连接。

导致服务器接受空密码的漏洞CVE-2017-7546。

公告指出，尽管libpq拒绝发送空密码，但仍能使用空密码验证PostgreSQL数据库账号。远程攻击者可利用该漏洞获取数据库账号的权限。

几种验证方法，包括广泛使用的“md5”也允许使用空密码。在客户端，Libpq将不会发送空密码，这可能已经造成一种错觉：空密码等同于禁用账号（这些账号要求使用密码的验证方法）。相反，攻击者可能很容易被验证为用户。

该漏洞存在于lo_put()函数中，其缺失权限检查，允许任何用户修改“大对象”（Large Object）中的数据。

公告指出， PostgreSQL处理大对象过程存在授权漏洞，经验证的远程用户不具备任何特权就能利用该漏洞重写整个对象内容，最终导致拒绝服务。

PostgreSQL还提醒用户，将于9月停止使用版本9.2。

修复方式：https://www.postgresql.org/about/news/1772/

本文由E安全编译报道，转载请注明原文地址：

https://www.easyaq.com/news/1211053582.shtml

▽点击“阅读原文” 下载E安全APP